Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 13/05/2026
Identificador
INCIBE-2026-343
Importancia
4 - Alta
Recursos Afectados
  • Para CVE-2026-4827:
    • Easergy MiCOM C264: versiones D6.x (todas las versiones) y versión D7.33 y anteriores;
    • Easergy C5: versión 1.1.17 y anteriores;
    • Easergy MiCOM P30:
      • todos los dispositivos MiCOM P30 con Advanced Cyber Security;
      • Easergy MiCOM P139 versiones anteriores a P139.678.700;
      • Easergy MiCOM P437 versiones anteriores a P437.678.700;
      • Easergy MiCOM P439 versiones anteriores a P439.678.700;
      • Easergy MiCOM P532 versiones anteriores a P532.678.700;
      • Easergy MiCOM P539 versiones anteriores a P539.678.700;
      • Easergy MiCOM P631 versiones anteriores a P631.678.700;
      • Easergy MiCOM P632 versiones anteriores a P632.678.700;
      • Easergy MiCOM P633 versiones anteriores a P633.678.700;
      • Easergy MiCOM P634 versiones anteriores a P634.678.700;
      • Easergy MiCOM P633 versión P633.680.700;
      • Easergy MiCOM P634 versión P634.680.700;
      • Easergy MiCOM P138 versiones anteriores a P138.677.700;
      • Easergy MiCOM P436 versiones anteriores a P436.677.701;
      • Easergy MiCOM P438 versiones anteriores a P438.677.701;
      • Easergy MiCOM P638 versiones anteriores a P638.677.700;
      • Easergy MiCOM C434 versiones anteriores a C434.679.700.
    • Easergy MiCOM P40: números de modelo de la serie Easergy MiCOM P40 con el bit de opción de protocolo en G, H o L y todas las versiones de firmware;
    • EcoStruxure™ Power Automation System Gateway (EPAS-GTW): versiones anteriores a 6.4.616.200.100;
    • EcoStruxure Power Automation System User Interface (EPAS-UI): versiones anteriores a 3.0.3;
    • EcoStruxure™ Power Operation: versiones anteriores a 2022 CU6 y versiones anteriores a 2024 CU2;
    • iPMFLS: versiones anteriores a 64.2025.0.13;
    • PowerLogic™ P5 Protection Relay: versiones anteriores a V02.502.103;
    • PowerLogic™ P7 Protection and Control Platform: versiones anteriores a V02.002.002;
    • PowerLogic™ T300: versiones anteriores a 2.9.4;
    • PowerLogic™ T500: versiones anteriores a 11.08.02;
    • Saitel DP: versiones anteriores a 11.06.36;
    • EasyLogic T150 (formerly Saitel DR): versiones anteriores a 11.06.30.
  • Para CVE-2026-6865:
    • EasyLogic T150 (antes Saitel DR) Remote Terminal Unit & Controller: versiones 11.06.31 y anteriores;
    • Saitel DP Remote Terminal Unit & Controller: versiones 11.06.36 y anteriores.
  • Para CVE-2026-6866:
    • EcoStruxure™ Panel Server PAS400, PAS600, PAS600V2, PAS800 y PAS800V2: versiones 002.005.000 y anteriores.
  • Para CVE-2026-6332:
    • Ecostruxure™ Machine Expert HVAC: versiones anteriores a 1.10.0.
Descripción

Schneider Electric ha publicado 4 vulnerabilidades: 3 de severidad alta y 1 de severidad media, cuya explotación podría permitir a un atacante llevar a cabo un secuestro de sesión u obtener acceso no autorizado a los archivos y a información confidencial.

Solución
  • Para CVE-2026-4827:
    • Easergy MiCOM C264: actualizar a la versión D7.34 o superior.
    • Easergy C5: actualizar a la versión 1.1.18 o superior.
    • Easergy MiCOM P139, P437, P439, P532, P539, P631, P632, P633, P634: actualizar a la versión de firmware .700 o superior.
    • Easergy MiCOM P138, P436, P438, P638: actualizar a la versión de firmware .700 o superior (o .701 según el modelo específico).
    • Easergy MiCOM C434: actualizar a la versión de firmware .700 o superior.
    • Easergy MiCOM P40: deshabilitar los protocolos innecesarios o aplicar las recomendaciones de segmentación de red descritas en el aviso.
    • EcoStruxure™ Power Automation System Gateway (EPAS-GTW): actualizar a la versión 6.4.616.200.101 o superior.
    • EcoStruxure Power Automation System User Interface (EPAS-UI): actualizar a la versión 3.0.4 o superior.
    • EcoStruxure™ Power Operation: Aplicar los Cumulative Updates (CU) más recientes (2022 CU7 / 2024 CU3 o superiores).
    • iPMFLS: actualizar a la versión 64.2025.0.14 o superior.
    • PowerLogic™ P5: actualizar a la versión V02.502.104 o superior.
    • PowerLogic™ P7: actualizar a la versión V02.002.003 o superior.
    • PowerLogic™ T300: actualizar a la versión 2.9.5 o superior.
    • PowerLogic™ T500: actualizar a la versión 11.08.03 o superior.
    • Saitel DP / EasyLogic T150: actualizar a la versión 11.06.37 (DP) / 11.06.31 (T150) o superiores.
  • Para CVE-2026-6865:
    • EasyLogic T150 (antes Saitel DR) / Saitel DP: se debe actualizar a la versión de firmware 11.06.37 o superior. Como medida de mitigación adicional, Schneider Electric recomienda deshabilitar el servicio web si no es necesario para la operación.
  • Para CVE-2026-6866:
    • EcoStruxure™ Panel Server (PAS400, PAS600, PAS800): se debe actualizar a la versión de firmware 002.006.000 o superior. Se recomienda encarecidamente cambiar las contraseñas predeterminadas y asegurar que los dispositivos estén detrás de un firewall industrial.
  • Para CVE-2026-6332:
    • EcoStruxure™ Machine Expert HVAC: se debe actualizar a la versión 1.10.1 o superior. Mientras se aplica la actualización, se recomienda restringir el acceso a los puertos de comunicación del software mediante listas de control de acceso (ACL) y firewalls.
Detalle
  • CVE-2026-4827: vulnerabilidad causada por una entropía insuficiente, que podría dar lugar a un acceso, no autorizado, si un atacante de la red lograra aprovechar las deficiencias en las medidas de protección de la gestión de sesiones.
  • CVE-2026-6865: vulnerabilidad debida a una limitación incorrecta de una ruta de acceso a un directorio restringido, que podría dar lugar a un acceso no autorizado a archivos confidenciales si la información proporcionada por el usuario no se gestiona correctamente durante el procesamiento de la ruta de acceso al archivo en el servidor.
  • CVE-2026-6866: vulnerabilidad relacionada con la inicialización de un recurso con una configuración predeterminada insegura que podría provocar la divulgación no autorizada de información confidencial cuando, en contadas ocasiones, las credenciales vuelven a la configuración inicial, lo que permite la autenticación no autorizada utilizando credenciales conocidas.

Se ha asignado el identificador CVE-2026-6332 para la vulnerabilidad de severidad media.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-4827 Alta No Schneider Electric
CVE-2026-6865 Alta No Schneider Electric
CVE-2026-6866 Alta No Schneider Electric
CVE-2026-6332 Media No Schneider Electric
Listado de referencias
Insufficient Entropy vulnerability on Multiple Products
Improper Limitation of a Pathname to a Restricted Directory Vulnerability on Multiple Products
Initialization of a Resource with an Insecure Default vulnerability on EcoStruxure™ Panel Server
Clear Text Storage of Sensitive Information on EcoStruxure™ Machine Expert HVAC
Etiquetas