Schneider Electric EcoStruxure IT Data Center Expert'te Bilgi Açığa Çıkarma Zafiyeti
Schneider Electric, EcoStruxure IT Data Center Expert ürününde bir zafiyet keşfetti. Bu ürün, kritik cihaz bilgilerini toplamak, organize etmek ve dağıtmak için kullanılan ölçeklenebilir bir izleme yazılımıdır. Bu zafiyet, bir saldırganın sunucu tarafındaki dosya içeriğini açığa çıkarmasına neden olabilir. Etkilenen sürümler EcoStruxure IT Data Center Expert 9.1.1 ve önceki sürümlerdir.
Zafiyet, XML Dış Entity Referansı kısıtlamasının düzgün şekilde uygulanmamasından kaynaklanmaktadır. Bir saldırgan, Data Center Expert kullanıcı hesabına sahipse, SOAP hizmet uç noktalarına özel olarak hazırlanmış XML yüklerini gönderebilir ve bu da bilgi açığa çıkarmasına neden olabilir.
Schneider Electric, bu zafiyeti gidermek için EcoStruxure IT Data Center Expert'in 9.1.2 sürümünü yayınladı. Bu sürüm, şirketin web sitesinde indirilebilir.
Bu zafiyet, CVSS v3.1 puanlama sisteminde 6.5 puan almıştır ve orta düzeyde bir tehdit olarak kabul edilmektedir.
Kaynak: CISA

