Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 09/06/2026
Identificador
INCIBE-2026-404
Importancia
4 - Alta
Recursos Afectados
  • EcoStruxure™ IT Data Center Expert
    • Versiones 9.1.1 y anteriores.
  • EasyLogic T150 (anteriormente Saitel DR RTU)
    • Versiones 11.06.31 y anteriores para CVE-2026-9650;
    • Versiones 11.06.32 y anteriores para CVE-2026-9651.
  • Saitel DP Remote Terminal Unit & Controller
    • Versiones 11.06.35 y anteriores para CVE-2026-9650;
    • Versiones 11.06.37 y anteriores para CVE-2026-9651.
  • PowerLogic™ P7
    • Versiones V02.003.001.000 y anteriores.
Descripción

Schneider Electric ha publicado 6 vulnerabilidades: 4 de severidad alta y 2 medias que, en caso de ser explotadas, podrían permitir a un atacante acceder a información sensible, ejecutar comandos con privilegios elevados o provocar una denegación de servicio (DoS) comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas afectados.

Solución

Schneider Electric recomienda actualizar los productos afectados a las siguientes versiones que corrigen la vulnerabilidad:

  • EcoStruxure™ IT Data Center Expert: 9.1.2.
  • EasyLogic T150: 11.06.32.
  • Saitel DP RTU: 11.06.38.
  • PowerLogic™ P7: V02.004.001.000.
Detalle
  • CVE-2026-8045: un atacante con cuenta válida en la plataforma podría enviar cargas XML especialmente diseñadas a determinados servicios SOAP y provocar la divulgación del contenido de archivos almacenados en el servidor.
  • CVE-2026-9650: un atacante, no autenticado, podría acceder a credenciales almacenadas en el firmware o en archivos del sistema, facilitando posteriormente la obtención de acceso no autorizado y la exposición de información sensible.
  • CVE-2026-9716: mediante el envío de solicitudes malformadas a interfaces de red expuestas, un atacante podría provocar una condición de denegación de servicio que afecte a la interfaz HMI y a las funciones de configuración del dispositivo.
  • CVE-2026-9717: un usuario autenticado con privilegios elevados podría ejecutar comandos arbitrarios en el sistema, comprometiendo la confidencialidad, integridad y disponibilidad del dispositivo.
  • CVE-2026-9718: un atacante autenticado podría provocar una condición de denegación de servicio mediante el envío de solicitudes especialmente diseñadas a servicios expuestos por red.
  • CVE-2026-9651: un usuario con acceso local privilegiado podría acceder a archivos del sistema insuficientemente protegidos y obtener hashes de contraseñas, favoreciendo el compromiso de cuentas.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-9716 Alta No Schneider Electric
CVE-2026-9650 Alta No Schneider Electric
CVE-2026-9717 Alta No Schneider Electric
CVE-2026-8045 Alta No Schneider Electric
CVE-2026-9718 Media No Schneider Electric
CVE-2026-9651 Media No Schneider Electric
Listado de referencias
Improper Restriction of XML External Entity Reference vulnerability on the EcoStruxure™ IT Data Center Expert
Multiple Vulnerabilities on EasyLogic T150 and Saitel DP RTU
Multiple Vulnerabilities on PowerLogic™ P7
Etiquetas