Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 15/01/2026
Identificador
INICBE-2026-028
Importancia
4 - Alta
Recursos Afectados
  • EcoStruxure™ Process Expert (CVE-2025-13905): versiones anteriores a 2025 ;
  • EcoStruxure™ Process Expert para AVEVA System Platform (CVE-2025-13905): todas las versiones afectadas;
  • EcoStruxure Power Build Rapsody software (CVE-2025-13844). Versiones anteriores a las siguientes e incluidas:
    • FR V2.8.1;
    • INT V2.8.6;
    • ES V2.8.5;
    • BEL (NL) V2.8.3;
    • BEL (FR) V2.8.8.
  • EcoStruxure Power Build Rapsody software (CVE-2025-13845). Versiones anteriores a las siguientes e incluidas:
    • FR V2.8.1.0300;
    • ESP V2.8.5.0200;
    • PT V2.8.7.0100;
    • BEL(FR) V2.8.8.0100;
    • BEL(EN) V2.8.3.0100;
    • INT(EN) V2.8.4.0300;
    • NL V2.8.2.0000.
Descripción

Schneider Electric ha publicado 3 vulnerabilidades, 2 de severidad alta y 1 de severidad media que, de ser explotadas, podrían permitir ejecutar código arbitrario o una escalada de privilegios.

Solución

Actualizar a las siguientes versiones:

  • Versión 2025 de EcoStruxure™ Process Expert.
  • Versiones FR V2.8.1.0401, INT V2.8.6.200, ES V2.8.5.0301, BEL(NL) V2.8.3.0201, BEL(FR) V2.8.8.0201 de EcoStruxure Power Build Rapsody.
  • Versiones FR V2.8.1.0401, ESP V2.8.5.0301, PT V2.8.7.0101, BEL(FR) V2.8.8.0201, BEL(EN) V2.8.3.0201, INT(EN) V2.8.4.0401, NL V2.8.2.000 de EcoStruxure Power Build Rapsody.

Para los productos EcoStruxure Power Build Rapsody es recomendable reiniciar el sistema después de la actualización.

Para el producto EcoStruxure Process Expert para AVEVA System Platform el fabricante está trabajando en un plan para todas las futuras versiones de este producto que contenga un parche para esta vulnerabilidad.

Detalle
  • CVE-2025-13905: EcoStruxure™ Process Expert contiene una vulnerabilidad que podría permitir a un atacante modificar archivos binarios ejecutables, lo que podría dar lugar a una escalada de privilegios.
  • CVE-2025-13845: en EcoStruxure Power Build Rapsody existe el riesgo de que se produzca una corrupción de memoria, un desbordamiento del búfer basado en el montón o un desbordamiento del búfer basado en la pila, lo que podría dar lugar a que los atacantes locales ejecuten código arbitrario.
CVE
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-13905
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-13845
Severidad
Alta
Listado de referencias
Incorrect Default Permissions Vulnerability on EcoStruxure™ Process Expert
Multiple Vulnerabilities on EcoStruxure Power Build Rapsody
Etiquetas