Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en ConneXium Network Manager de Schneider Electric

Fecha de publicación 08/04/2025
Identificador
INCIBE-2025-0175
Importancia
4 - Alta
Recursos Afectados
  • ConneXium Network Manager, todas las versiones.
Descripción

Se han detectado 2 vulnerabilidades de severidad alta en ConneXium Network Manager que, en caso de ser explotadas, podrían facilitar la divulgación de información confidencial, la escalada de privilegios mediante ataques man-in-the-middle, la realización de denegaciones de servicio (DoS) o la ejecución remota de código (RCE) en sus estaciones de trabajo.

Solución

ConneXium Network Manager ha alcanzado el final de su vida útil (EoL) y el fabricante ya no ofrece actualizaciones; sin embargo, recomienda seguir las siguientes instrucciones como medida de mitigación, en función de la vulnerabilidad afectada:

  • CVE-2025-2222, solo afecta a la versión V2.0.01 del producto:
  • CVE-2025-2223, afecta a todas las versiones del producto:
    • Solo abrir archivos de proyecto de una fuente de confianza.
    • Calcular el hash de los archivos de proyecto y verificar periódicamente y antes de usar el archivo que el hash no ha cambiado.
    • Encriptar el archivo de proyecto cuando vaya a ser almacenado y limitar el acceso para que únicamente puedan acceder usuarios de confianza.
    • Utilizar protocolos de comunicación seguros cuando se intercambien ficheros en la red.
    • Seguir las indicaciones de securización de estaciones de trabajo, redes e instalaciones de la Guía de Prácticas recomendadas de ciberseguridad (Recommended Cybersecurity Best Practices) del fabricante.
Detalle

Las vulnerabilidades se describen a continuación:

  • CVE-2025-2222, ficheros o directorios accesibles a terceras partes en HTTPS podría permitir una fuga de información y, potencialmente, una escalada de privilegios en un ataque man-in-the-middle.
  • CVE-2025-2223, validación inadecuada de la entrada que puede provocar una pérdida de confidencialidad, integridad y disponibilidad de las estaciones de trabajo cuando un usuario carga un archivo de proyecto malicioso en el sistema local.