阿里云漏洞库

漏洞描述

Schneider Electric Modicon M580等都是法国施耐德电气（Schneider Electric）公司的产品。Schneider Electric Modicon M580是一款可编程自动化控制器。Schneider Electric Modicon Premium是一款用于离散或过程应用的大型可编程逻辑控制器（PLC）。Schneider Electric Modicon Quantum是一款用于过程应用、高可用性和安全解决方案的大型可编程逻辑控制器（PLC）。

多款Schneider Electric产品中存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。以下产品及版本受到影响：Schneider Electric Modicon M580（全部版本）；Modicon M340（全部版本）；Modicon Quantum（全部版本）；Modicon Premium（全部版本）。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://www.schneider-electric.com/

参考链接
https://www.schneider-electric.com/en/download/document/SEVD-2019-134-11/
https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0771

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	schneider-electric	modicon_m340_firmware	*		Up to (excluding) 3.10
	运行在以下环境
	系统	schneider-electric	modicon_m580_firmware	*		Up to (excluding) 2.90
	运行在以下环境
	系统	schneider-electric	modicon_premium_firmware	*		Up to (including) 3.20
	运行在以下环境
	系统	schneider-electric	modicon_quantum_firmware	*		Up to (including) 3.60
	运行在以下环境
	硬件	schneider-electric	modicon_m340	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_m580	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_premium	-	-
	运行在以下环境
	硬件	schneider-electric	modicon_quantum	-	-

攻击路径

网络
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-306	关键功能的认证机制缺失

多款Schneider Electric产品访问控制错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况