Siemens et Schneider Electric ont publié 15 bulletins de sécurité dans le cadre de leur Patch Tuesday de ce mois. Ils portent un total de 43 vulnérabilités, dont certaines ont reçu une note de gravité critique.

Selon les scores CVSS, l'avis le plus important parmi les 12 avis publiés par Siemens couvre 11 failles affectant le serveur web des appareils SICAM P850 et P855.

L'un de ces bogues est critique et permet à un attaquant non authentifié d'exécuter du code arbitraire ou de lancer une attaque par déni de service (DoS). Quant aux cinq vulnérabilités de gravité élevée décrites par le même avis, elles peuvent conduire à des attaques par déni de service, à l'exécution de code, à la capture de trafic et à l'interférence avec les fonctionnalités du dispositif, à des attaques de type cross-site scripting (XSS) ou à l'accès à l'interface de gestion d'un dispositif.

De l’autre côté, Schneider Electric a publié trois avis décrivant 08 vulnérabilités. Parmi ces failles, 06 affectent certains produits domotiques Wiser Smart, notamment un problème critique lié aux informations d'identification codées en dur et des vulnérabilités de haute gravité qui peuvent être exploitées pour des attaques par force brute, le détournement de compte administrateur, des attaques interdomaines et l'obtention d'informations d'identification d'authentification.

Les deux sociétés ont également informé leurs clients sur d’autres bogues moins critiques qui affectent d’autres produits, d’où la nécessité d’appliquer les mesures d’atténuation ou de mettre à jour les solutions affectées.