Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Schneider Electric

Fecha de publicación 11/03/2025
Identificador
INCIE-2025-0128
Importancia
5 - Crítica
Recursos Afectados
  • WebHMI, v4.1.0.0 y anteriores cuando está instalado en EPAS User Interface v2.6.30.19 y anteriores. Esto afecta a los usuarios de EMO-L que empleen alguna de las versiones mencionadas anteriormente.
  • EcoStruxure™ Power Automation System User Interface (EPAS-UI) - Secured Versions, desde la v2.1 hasta v2.9.
  • EcoStruxure™ Panel Server, v2.0 y anteriores.
Descripción

Schneider Electric ha publicado información sobre 3 vulnerabilidades, una de severidad crítica, otra alta y otra media, que afectan a múltiples productos, y cuya explotación podría permitir el acceso no autorizado a la aplicación de software que ejecuta WebHMI.

Solución

Actualizar los productos a sus últimas versiones. Para cada una de ellas:

  • WebHMI v4.1.0.0 y anteriores cuando está instalado en EPAS User Interface v2.6.30.19 y anteriores - El Hotfix WebHMI_Fix_users_for_Standard.V1 de WebHMI incluye una solución para esta vulnerabilidad que puede obtenerse del centro de atención al cliente de Schneider Electric.
  • EcoStruxure™ Power Automation System User Interface (EPAS-UI) - La versión 2.10 de este producto soluciona el problema, contacte con el  centro de atención al cliente de Schneider Electric para obtener la actualización.
  • EcoStruxure™ Panel Server - La versión 2.1 o posterior soluciona este problema. Conviene, asimismo, descargar EcoStruxure™ Power Commission Software v2.33.0 o posterior, y la versión v2.1 o posterior del firmware EcoStruxure™ Panel Server para completar la actualización.
Detalle

La vulnerabilidad de severidad crítica afecta a WebHMI, desplegado en EcoStruxure™ Power Automation System User Interface (EcoSUI) y EcoStruxure™ Microgrid Operation Large (EMO-L). El problema surge porque el producto se inicializa con un valor por defecto inseguro, si el administrador no cambia estas credenciales iniciales un atacante podría ejecutar comandos no autorizados en la aplicación que ejecuta WebHMI. Se ha asignado el identificador CVE-2025-1960 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2025-0813 y para la media CVE-2025-2002.

 

Listado de referencias
SEVD-2025-070-03 - WebHMI Component For EcoStruxure™ Power Automation System User Interface and EcoStruxure™ Microgrid Operation Large
SEVD-2025-070-02 - EPAS-UI & EcoSUI
SEVD-2025-070-01 - EcoStruxure™ Panel Server
ICSA-25-077-01- Schneider Electric EcoStruxure Power Automation System User Interface (EPAS-UI)
ICSA-25-077-04 - Schneider Electric EcoStruxure Panel Server
ICSA-25-077-03 - Schneider Electric EcoStruxure Power Automation System
Etiquetas