Múltiples vulnerabilidades en productos de Siemens
Fecha de publicación 18/08/2025
Identificador
INCIBE-2025-0448
Importancia
4 - Alta
Recursos Afectados
- Desigo CC family
- SENTRON Powermanager;
- Mendix SAML;
- Mendix 9.24 compatible, versiones anteriores a la 3.6.21;
- Mendix 10.12 compatible, versiones anteriores a la 4.0.3;
- Mendix 10.21 compatible, versiones anteriores a la 4.1.2;
Descripción
Siemens ha informado de 2 vulnerabilidades de severidad alta en varios de sus productos que, en caso de ser explotadas, podrían permitir a un atacante incrementar sus privilegios y robar una cuenta con configuraciones específicas de SSO.
Solución
Para los productos Desigo CC family y SENTRON Powermanager, actualizar el WIBU CodeMeter de la siguiente forma:
- Desinstalar la versión anterior de CodeMeter desde el Panel de Control:
- Instalar la versión 8.30a de CodeMeter;
- Reiniciar el cliente/servidor.
Para el producto Mendix SAML, actualizar a la última versión.
Detalle
Las vulnerabilidades son:
- CVE-2025-47809: Wibu CodeMeter anterior a la versión 8.30a, en ocasiones, permite la escalada de privilegios inmediatamente después de ser instalado (antes de cerrar sesión o reiniciar). Para poder explotarlo debe: (1) haberse realizado una instalación sin privilegios con UAC y (2) estar instalado el componente CodeMeter Control Center sin haberse reiniciado. En este escenario, un usuario local puede navegar desde Importar licencia a una instancia con privilegios del Explorador de Windows.
- CVE-2025-40758: Las versiones afectadas del módulo no realizan una comprobación de firmas y enlaces suficiente. Esto podría permitir a atacantes remotos no autenticados secuestrar una cuenta con configuraciones SSO específicas.
CVE
Listado de referencias
