Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 23/07/2025

Identificador

INICBE-2025-0399

Importancia

5 - Crítica

Recursos Afectados

Operación de EcoStruxure Power (EPO): 2022 CU6 y anteriores;
Operación de energía de EcoStruxure (EPO): 2024 CU1 y anteriores;
EcoStruxure IT Data Center Expert: versiones v8.3 y anteriores.

Descripción

Jaggar Henry y Jim Becher, de KoreLogic, Inc., y Schneider Electric han reportado 12 vulnerabilidades: 1 de severidad media, 8 altas y 3 medias que podrían provocar una pérdida de la funcionalidad del sistema, acceso no autorizado a las funciones del sistema o interrumpir las operaciones y acceder a los datos del sistema.

Solución

EcoStruxure Power Operation 2024 CU2 incluye correcciones para estas vulnerabilidades y está disponible para descargar.
La versión 9.0 de EcoStruxure IT Data Center Expert incluye correcciones para estas vulnerabilidades y está disponible a pedido en el Centro de atención al cliente de Schneider Electric.

Detalle

CVE-2025-50121: neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo, que podría provocar la ejecución remota de código, no autenticado, al crear una carpeta maliciosa mediante la interfaz web HTTP cuando está habilitada. HTTP está deshabilitado de forma predeterminada.
CVE-2025-50122: entropía insuficiente, que podría provocar el descubrimiento de la contraseña root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
CVE-2025-50123: control inadecuado en la generación de código ('inyección de código'), que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor a través de una consola y se explota la entrada del nombre de host.
CVE-2025-50124: gestión de privilegios inadecuada que podría provocar una escalada de privilegios cuando se accede al servidor mediante una cuenta privilegiada mediante una consola y mediante la explotación de un script de configuración.
CVE-2023-50447: la versión 10.1.0 de Pillow permite la ejecución de código arbitrario de PIL.ImageMath.eval mediante el parámetro de entorno. Esta vulnerabilidad es diferente de la CVE-2022-22817, que afecta al parámetro de expresión.
CVE-2022-45198: las versiones de Pillow anteriores a 9.2.0 manejan incorrectamente datos GIF altamente comprimidos.
CVE-2023-5217: un desbordamiento del búfer de montón en la codificación vp8 en libvpx, utilizado por versiones de Google Chrome anteriores a 117.0.5938.132 y libvpx versión 1.13.1, podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
CVE-2023-35945: fuga de memoria que que podria derivar en una denegación de servicio por agotamiento de la memoria.
CVE-2023-44487: el protocolo HTTP/2 permite una denegación de servicio porque la cancelación de la solicitud puede restablecer muchos flujos rápidamente.