Múltiples vulnerabilidades en productos Schneider Electric
- WebHMI, v4.1.0.0 y anteriores cuando está instalado en EPAS User Interface v2.6.30.19 y anteriores. Esto afecta a los usuarios de EMO-L que empleen alguna de las versiones mencionadas anteriormente.
- EcoStruxure™ Power Automation System User Interface (EPAS-UI) - Secured Versions, desde la v2.1 hasta v2.9.
- EcoStruxure™ Panel Server, v2.0 y anteriores.
Schneider Electric ha publicado información sobre 3 vulnerabilidades, una de severidad crítica, otra alta y otra media, que afectan a múltiples productos, y cuya explotación podría permitir el acceso no autorizado a la aplicación de software que ejecuta WebHMI.
Actualizar los productos a sus últimas versiones. Para cada una de ellas:
- WebHMI v4.1.0.0 y anteriores cuando está instalado en EPAS User Interface v2.6.30.19 y anteriores - El Hotfix WebHMI_Fix_users_for_Standard.V1 de WebHMI incluye una solución para esta vulnerabilidad que puede obtenerse del centro de atención al cliente de Schneider Electric.
- EcoStruxure™ Power Automation System User Interface (EPAS-UI) - La versión 2.10 de este producto soluciona el problema, contacte con el centro de atención al cliente de Schneider Electric para obtener la actualización.
- EcoStruxure™ Panel Server - La versión 2.1 o posterior soluciona este problema. Conviene, asimismo, descargar EcoStruxure™ Power Commission Software v2.33.0 o posterior, y la versión v2.1 o posterior del firmware EcoStruxure™ Panel Server para completar la actualización.
La vulnerabilidad de severidad crítica afecta a WebHMI, desplegado en EcoStruxure™ Power Automation System User Interface (EcoSUI) y EcoStruxure™ Microgrid Operation Large (EMO-L). El problema surge porque el producto se inicializa con un valor por defecto inseguro, si el administrador no cambia estas credenciales iniciales un atacante podría ejecutar comandos no autorizados en la aplicación que ejecuta WebHMI. Se ha asignado el identificador CVE-2025-1960 para esta vulnerabilidad.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2025-0813 y para la media CVE-2025-2002.