[Actualización 19/11/2025] Múltiples vulnerabilidades en productos Schneider
El listado de productos afectados es el siguiente; no obstante, cabe destacar que no todos los productos están afectados por todas las vulnerabilidades. Para más detalle consultar los enlaces de las referencias.
- SESU, versiones anteriores a v3.0.12;
- EcoStruxure Power Monitoring Expert, versiones 2022, 2023, 2024 y 2024 R2;
- EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module: versiones 2022 y 2024 Advancing Reporting Module;
- Saitel DR RTU, versiones 11.06.29 y 11.06.34 y anteriores;
- Modicon M340;
- BMXNOR0200H: Ethernet / Serial RTU Module;
- BMXNGD0100: M580 Global Data module;
- BMXNOC0401: Modicon M340 X80 Ethernet Communication modules;
- BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module, versiones anteriores a 3.60;
- BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module, versiones anteriores a 6.80.
[Actualización 07/08/2025]
Nuevos productos afectados:
- Módulo de informes y paneles avanzados, componente opcional de EcoStruxure Power Operation (EPO) (2022) instalado con EcoStruxure Power Monitoring Expert (PME) (2024 R2): todas las versiones.
- Módulo de informes y paneles avanzados, componente opcional de EcoStruxure Power Operation (EPO) (2022) instalado con EcoStruxure Power Monitoring Expert (PME) (2024): todas las versiones.
- Módulo de informes y paneles avanzados, componente opcional de EcoStruxure Power Operation (EPO) (2022) instalado con EcoStruxure Power Monitoring Expert (PME) (2023): todas las versiones (CVE-2025-54924, CVE-2025-54925, CVE-2025-54927).
- Módulo de informes y paneles avanzados, componente opcional de EcoStruxure Power Operation (EPO) (2022) instalado con EcoStruxure Power Monitoring Expert (PME) (2023 R2): todas las versiones (CVE-2025-54924, CVE-2025-54925, CVE-2025-54927).
Los productos de Schneider Electric están afectados por 8 vulnerabilidades, 7 de severidad alta y 1 crítica que, en caso de ser explotadas, podrían permitir a un atacante remoto leer ficheros arbitrarios de la máquina objetivo o acceder de forma directa a servicios internos.
Siempre que sea posible, actualizar a la última versión. En algunos casos, la última versión no soluciona todas las vulnerabilidades sino solo algunas de ellas. Para el resto de vulnerabilidades el fabricante está trabajando en nuevos parches que las resuelvan.
Para más detalle de si un producto y versión concretas tienen parche, vulnerabilidades que se corrigen, sugerencias de actualización y sugerencias de mitigación mientras se resuelve la vulnerabilidad, se recomienda consultar los enlaces de las referencias.
Las vulnerabilidades de severidad alta tienen los siguientes identificadores y tipo de vulnerabilidad:
- CVE-2025-5296: Resolución inadecuada de enlace previo al acceso al fichero;
- CVE-2025-54923: Deserialización de datos no confiables;
- CVE-2025-54924 y CVE-2025-54925: Falsificación de solicitudes del lado del servidor (SSRF);
- CVE-2025-54926: Limitación inadecuada de un nombre de ruta a un directorio restringido;
- CVE-2025-8453: Gestión inadecuada de privilegios;
- CVE-2025-6625: Validación incorrecta de entrada.
