Múltiples vulnerabilidades en ConneXium Network Manager de Schneider Electric
Fecha de publicación 08/04/2025
Identificador
INCIBE-2025-0175
Importancia
4 - Alta
Recursos Afectados
- ConneXium Network Manager, todas las versiones.
Descripción
Se han detectado 2 vulnerabilidades de severidad alta en ConneXium Network Manager que, en caso de ser explotadas, podrían facilitar la divulgación de información confidencial, la escalada de privilegios mediante ataques man-in-the-middle, la realización de denegaciones de servicio (DoS) o la ejecución remota de código (RCE) en sus estaciones de trabajo.
Solución
ConneXium Network Manager ha alcanzado el final de su vida útil (EoL) y el fabricante ya no ofrece actualizaciones; sin embargo, recomienda seguir las siguientes instrucciones como medida de mitigación, en función de la vulnerabilidad afectada:
- CVE-2025-2222, solo afecta a la versión V2.0.01 del producto:
- Deshabilitar el servidor web (deshabilitado por defecto).
- Seguir las indicaciones de securización de estaciones de trabajo, redes e instalaciones de la Guía de Prácticas recomendadas de ciberseguridad (Recommended Cybersecurity Best Practices) del fabricante.
- CVE-2025-2223, afecta a todas las versiones del producto:
- Solo abrir archivos de proyecto de una fuente de confianza.
- Calcular el hash de los archivos de proyecto y verificar periódicamente y antes de usar el archivo que el hash no ha cambiado.
- Encriptar el archivo de proyecto cuando vaya a ser almacenado y limitar el acceso para que únicamente puedan acceder usuarios de confianza.
- Utilizar protocolos de comunicación seguros cuando se intercambien ficheros en la red.
- Seguir las indicaciones de securización de estaciones de trabajo, redes e instalaciones de la Guía de Prácticas recomendadas de ciberseguridad (Recommended Cybersecurity Best Practices) del fabricante.
Detalle
Las vulnerabilidades se describen a continuación:
- CVE-2025-2222, ficheros o directorios accesibles a terceras partes en HTTPS podría permitir una fuga de información y, potencialmente, una escalada de privilegios en un ataque man-in-the-middle.
- CVE-2025-2223, validación inadecuada de la entrada que puede provocar una pérdida de confidencialidad, integridad y disponibilidad de las estaciones de trabajo cuando un usuario carga un archivo de proyecto malicioso en el sistema local.
Listado de referencias