Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Schneider

Fecha de publicación 13/08/2025
Identificador
INCIBE-2025-0443
Importancia
4 - Alta
Recursos Afectados

El listado de productos afectados es el siguiente; no obstante, cabe destacar que no todos los productos están afectados por todas las vulnerabilidades. Para más detalle consultar los enlaces de las referencias.

  • SESU, versiones anteriores a v3.0.12;
  • EcoStruxure Power Monitoring Expert, versiones 2022, 2023, 2024 y 2024 R2;
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module: versiones 2022 y 2024 Advancing Reporting Module;
  • Saitel DR RTU, versiones 11.06.29 y 11.06.34 y anteriores;
  • Modicon M340;
  • BMXNOR0200H: Ethernet / Serial RTU Module;
  • BMXNGD0100: M580 Global Data module;
  • BMXNOC0401: Modicon M340 X80 Ethernet Communication modules;
  • BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module, versiones anteriores a 3.60;
  • BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module, versiones anteriores a 6.80.
Descripción

Los productos de Schneider Electric están afectados por 8 vulnerabilidades, 7 de severidad alta y 1 crítica que, en caso de ser explotadas, podrían permitir a un atacante remoto leer ficheros arbitrarios de la máquina objetivo o acceder de forma directa a servicios internos.

Solución

Siempre que sea posible, actualizar a la última versión. En algunos casos, la última versión no soluciona todas las vulnerabilidades sino solo algunas de ellas. Para el resto de vulnerabilidades el fabricante está trabajando en nuevos parches que las resuelvan.

Para más detalle de si un producto y versión concretas tienen parche, vulnerabilidades que se corrigen, sugerencias de actualización y sugerencias de mitigación mientras se resuelve la vulnerabilidad, se recomienda consultar los enlaces de las referencias.

Detalle

Las vulnerabilidades de severidad alta tienen los siguientes identificadores y tipo de vulnerabilidad:

  • CVE-2025-5296: Resolución inadecuada de enlace previo al acceso al fichero;
  • CVE-2025-54923: Deserialización de datos no confiables;
  • CVE-2025-54924 y CVE-2025-54925: Falsificación de solicitudes del lado del servidor (SSRF);
  • CVE-2025-54926: Limitación inadecuada de un nombre de ruta a un directorio restringido;
  • CVE-2025-8453: Gestión inadecuada de privilegios;
  • CVE-2025-6625: Validación incorrecta de entrada.
CVE
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-5296
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-54923
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-54924
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-54925
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-54926
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-8453
Severidad
Alta
Explotación
No
Fabricante
schneider-electric
Identificador CVE
CVE-2025-6625
Severidad
Alta
Listado de referencias
Schneider Electric - Security Notification SEVD-2025-224-03
Schneider Electric - Security Notification SEVD-2025-224-02
Schneider Electric - Security notification SEVD-2025-224-01
Schneider Electric - Security notification SEVD-2025-224-05
CISA - ICSA-25-224-03
Etiquetas