Deserialización de datos no confiables en EcoStruxure Foxboro DCS system de Schneider
Componente opcional EcoStruxure™ Foxboro DCS Advisor de EcoStruxure™ Foxboro DCS system, para los siguientes sistemas:
- EcoStruxure™ Foxboro DCS Advisor services con la aplicación Windows Server Update Services ejecutándose en MS Server 2016, con la actualización de Microsoft KB5066836;
- EcoStruxure™ Foxboro DCS Advisor services con la aplicación Windows Server Update Services ejecutándose en MS Server 2022, con la actualización de Microsoft KB5066782.
Schneider Electric ha publicado un aviso de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto y, en consecuencia, que un usuario no autorizado adquiera privilegios a nivel de sistema.
Microsoft ha proporcionado un parche a través de WSUS para solucionar el problema. Se recomienda instalar el parche con la mayor celeridad posible. Es posible que sea necesario reiniciar el dispositivo después de la actualización. Se recomienda contactar con el centro global de atención al cliente de Schneider para asegurarse de que la actualización ha sido realizada con éxito.
Los parches de Microsoft para cada producto afectado son:
- Para MS Server 2016: KB5070882;
- Para MS Server 2022: KB5070884.
CVE-2025-59287: un atacante remoto no autenticado podría enviar un evento manipulado que provoque una deserialización de objetos no seguros en un mecanismo de serialización heredado, lo que da lugar a una ejecución de código en remoto.
