Múltiples vulnerabilidades en productos de Schneider Electric
- EcoStruxure™ Power Operation (EPO) 2022: versión CU6 y anteriores;
- EcoStruxure™ Power Operation (EPO) 2024: versión CU1 y anteriores;
- EcoStruxure™ IT Data Center Expert: versión 8.3 y anteriores.
Schneider Electric ha publicado 12 vulnerabilidades de las cuales 1 es de severidad crítica, 8 altas y el resto medias. De ser explotadas podrían permitir a un atacante inyectar comandos en el sistema.
Para EcoStruxure™ Power Operation las vulnerabilidades son todas las dependencias transitivas de PostgreSQL que se solucionan en la versión 14.17.
Para EcoStruxure™ IT Data Center Expert: actualizar a la versión versión 9.0.
La vulnerabilidad de severidad crítica es de tipo neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. La explotación de esta vulnerabilidad podría permitir la ejecución remota de código sin necesidad de autenticación, si un atacante crea una carpeta maliciosa a través de la interfaz web HTTP, en caso de que esta se encuentre habilitada. Cabe destacar que HTTP está deshabilitado por defecto. Se ha asignado el identificador CVE-2025-50121 para esta vulnerabilidad.
El detalle del resto de vulnerabilidades de severidad alta se pueden consultar en los aviso oficiales enlazados en la sección de referencias.
