SON DAKİKA
Popüler#FidyeYazılımı#SıfırıncıGün#KimlikAvı#Veriİhlali#APT#Ransomware#DDoS#YapayZeka#CISA#ZararlıYazılım#Botnet#Şifreleme
Zafiyetler & CVE

Schneider Electric EcoStruxure IT Data Center Expert'te Bilgi Açığa Çıkarma Zafiyeti

30 Haziran 20261 dk okuma8 okunma

Schneider Electric, EcoStruxure IT Data Center Expert ürününde bir zafiyet keşfetti. Bu ürün, kritik cihaz bilgilerini toplamak, organize etmek ve dağıtmak için kullanılan ölçeklenebilir bir izleme yazılımıdır. Bu zafiyet, bir saldırganın sunucu tarafındaki dosya içeriğini açığa çıkarmasına neden olabilir. Etkilenen sürümler EcoStruxure IT Data Center Expert 9.1.1 ve önceki sürümlerdir.

Zafiyet, XML Dış Entity Referansı kısıtlamasının düzgün şekilde uygulanmamasından kaynaklanmaktadır. Bir saldırgan, Data Center Expert kullanıcı hesabına sahipse, SOAP hizmet uç noktalarına özel olarak hazırlanmış XML yüklerini gönderebilir ve bu da bilgi açığa çıkarmasına neden olabilir.

Schneider Electric, bu zafiyeti gidermek için EcoStruxure IT Data Center Expert'in 9.1.2 sürümünü yayınladı. Bu sürüm, şirketin web sitesinde indirilebilir.

Bu zafiyet, CVSS v3.1 puanlama sisteminde 6.5 puan almıştır ve orta düzeyde bir tehdit olarak kabul edilmektedir.

Bu haber, aşağıdaki kaynaktan derlenip özgün biçimde Türkçeleştirilmiştir.
Kaynak: CISA