La vulnerabilità CWE-601
01 di URL REDIRECTION TO UNTRUSTED SITE ("Open Redirect") esiste in Schneider Electric Software Update (SESU), V2.4.0 e precedenti, il che potrebbe causare l'esecuzione di codice dannoso sul computer della vittima. Per sfruttare questa vulnerabilità, un utente malintenzionato richiede l'accesso privilegiato sulla workstation di progettazione per modificare una chiave di registro di Windows che devierebbe tutti gli aggiornamenti del traffico per passare attraverso un server in possesso dell'utente malintenzionato. Un attacco man-in-the-middle viene quindi utilizzato per completare l'exploit.
CVE-2020-7520
Schneider elettrico
Aggiornamento software Schneider Electric (SESU)
7.9
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.