Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 23/07/2025
Identificador
INICBE-2025-0399
Importancia
5 - Crítica
Recursos Afectados
  • Operación de EcoStruxure Power (EPO): 2022 CU6 y anteriores;
  • Operación de energía de EcoStruxure (EPO): 2024 CU1 y anteriores;
  • EcoStruxure IT Data Center Expert: versiones v8.3 y anteriores.
Descripción

Jaggar Henry y Jim Becher, de KoreLogic, Inc., y Schneider Electric han reportado 12 vulnerabilidades: 1 de severidad media, 8 altas y 3 medias que podrían provocar una pérdida de la funcionalidad del sistema, acceso no autorizado a las funciones del sistema o interrumpir las operaciones y acceder a los datos del sistema.

Solución
  • EcoStruxure Power Operation 2024 CU2 incluye correcciones para estas vulnerabilidades y está disponible para descargar.
  • La versión 9.0 de EcoStruxure IT Data Center Expert incluye correcciones para estas vulnerabilidades y está disponible a pedido en el Centro de atención al cliente de Schneider Electric.
Detalle
  • CVE-2025-50121: neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo, que podría provocar la ejecución remota de código, no autenticado, al crear una carpeta maliciosa mediante la interfaz web HTTP cuando está habilitada. HTTP está deshabilitado de forma predeterminada.
  • CVE-2025-50122: entropía insuficiente, que podría provocar el descubrimiento de la contraseña root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
  • CVE-2025-50123: control inadecuado en la generación de código ('inyección de código'), que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor a través de una consola y se explota la entrada del nombre de host.
  • CVE-2025-50124: gestión de privilegios inadecuada que podría provocar una escalada de privilegios cuando se accede al servidor mediante una cuenta privilegiada mediante una consola y mediante la explotación de un script de configuración.
  • CVE-2023-50447: la versión 10.1.0 de Pillow permite la ejecución de código arbitrario de PIL.ImageMath.eval mediante el parámetro de entorno. Esta vulnerabilidad es diferente de la CVE-2022-22817, que afecta al parámetro de expresión.
  • CVE-2022-45198: las versiones de Pillow anteriores a 9.2.0 manejan incorrectamente datos GIF altamente comprimidos.
  • CVE-2023-5217: un desbordamiento del búfer de montón en la codificación vp8 en libvpx, utilizado por versiones de Google Chrome anteriores a 117.0.5938.132 y libvpx versión 1.13.1, podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
  • CVE-2023-35945: fuga de memoria que que podria derivar en una denegación de servicio por agotamiento de la memoria.
  • CVE-2023-44487: el protocolo HTTP/2 permite una denegación de servicio porque la cancelación de la solicitud puede restablecer muchos flujos rápidamente.
CVE
Explotación
No
Fabricante
Identificador CVE
CVE-2025-50121
Severidad
Crítica
Explotación
No
Fabricante
Identificador CVE
CVE-2025-50122
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2025-50123
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2025-50124
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2023-50447
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2022-45198
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2023-5217
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2023-35945
Severidad
Alta
Explotación
No
Fabricante
Identificador CVE
CVE-2023-44487
Severidad
Alta