schneider-electric ecostruxure_process_expert 忘记口令恢复机制弱

CVE编号

CVE-2022-37300

利用情况

暂无

补丁情况

N/A

披露时间

2022-09-13

漏洞描述

A CWE-640: Weak Password Recovery Mechanism for Forgotten Password vulnerability exists that could cause unauthorized access in read and write mode to the controller when communicating over Modbus. Affected Products: EcoStruxure Control Expert Including all Unity Pro versions (former name of EcoStruxure Control Expert) (V15.0 SP1 and prior), EcoStruxure Process Expert, Including all versions of EcoStruxure Hybrid DCS (former name of EcoStruxure Process Expert) (V2021 and prior), Modicon M340 CPU (part numbers BMXP34*) (V3.40 and prior), Modicon M580 CPU (part numbers BMEP* and BMEH*) (V3.20 and prior).

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://www.se.com/us/en/download/document/SEVD-2022-221-01/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	schneider-electric	ecostruxure_control_expert	*		Up to (excluding) 15.1
	运行在以下环境
	应用	schneider-electric	ecostruxure_process_expert	*		Up to (including) 2021
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp341000	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342000	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342010	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp3420102	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342020	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342020h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342030	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp3420302	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp3420302h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m340_bmxp342030h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh582040	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh582040c	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh582040s	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh584040	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh584040c	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh584040s	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh586040	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh586040c	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmeh586040s	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep581020	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep581020h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep582020	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep582020h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep582040	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep582040h	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep583020	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep583040	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep584020	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580_bmep584040	-	-
	运行在以下环境
硬件	schneider-electric	modicon_m580_bmep584040s	-	-
运行在以下环境
硬件	schneider-electric	modicon_m580_bmep585040	-	-
运行在以下环境
硬件	schneider-electric	modicon_m580_bmep585040c	-	-
运行在以下环境
硬件	schneider-electric	modicon_m580_bmep586040	-	-
运行在以下环境
硬件	schneider-electric	modicon_m580_bmep586040c	-	-

CVSS3评分 9.8

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-640	忘记口令恢复机制弱

Exp相关链接

- avd.aliyun.com