Une vulnérabilité CWE-269: Mauvaise gestion des privilèges existe qui pourrait entraîner une élévation de privilèges lorsque le serveur est accessible par un compte privilégié via une console et par exploitation d'un

L'exploitation réussie de cette vulnérabilité permet à un attaquant disposant d'un compte privilégié d'élever ses privilèges sur le système EcoStruxure™ IT Data Center Expert. Cela pourrait lui permettre d'accéder à des données sensibles, de modifier les configurations du système, voire de prendre le contrôle total du serveur. L'impact est significatif car il contourne les mécanismes de contrôle d'accès standard, permettant à un utilisateur déjà authentifié d'obtenir des droits d'administration. Bien qu'il n'y ait pas de rapports d'exploitation publique à ce jour, la nature de la vulnérabilité et sa facilité d'exploitation potentielle en font une cible attrayante pour les attaquants.

Organizations utilizing EcoStruxure™ IT Data Center Expert in environments where privileged accounts have console access are at risk. This includes data centers, industrial control systems, and any deployment pattern relying on this software for IT infrastructure management. Legacy configurations and systems with inadequate access controls are particularly vulnerable.

1. 2025-07-11Disclosure

   disclosure

1. Réservé2025-06-12
2. Publiée2025-07-11
3. Modifiée2025-11-03
4. EPSS mis à jour2026-03-23

La mitigation principale consiste à appliquer la mise à jour fournie par Schneider Electric. Vérifiez le site web de Schneider Electric pour obtenir la dernière version corrigée d'EcoStruxure™ IT Data Center Expert. Avant d'appliquer la mise à jour, il est fortement recommandé de sauvegarder la configuration actuelle du système. Si la mise à jour cause des problèmes de compatibilité, envisagez de revenir à une version précédente stable, si possible. En attendant la mise à jour, limitez l'accès à la console du serveur aux utilisateurs strictement nécessaires et surveillez les activités suspectes.