Múltiples vulnerabilidades en productos Schneider Electric
- EcoStruxure Machine SCADA Expert: versiones anteriores a 2023.1 Patch 1.
- Pro-face BLUE Open Studio: versiones anteriores a 2023.1 Patch 1.
- Schneider Electric PowerChute Serial Shutdown: versiones 1.3 y anteriores.
Schneider Electric ha informado sobre 4 vulnerabilidades de severidad alta. Su explotación podría permitir a un atacante descifrar información sensible, obtener privilegios elevados en el sistema o acceder de forma no autorizada a cuentas de usuario, entre otros.
Para la vulnerabilidad CVE-2025-9317, Schneider Electric recomienda actualizar a la versión 2023.1 Patch 1 de EcoStruxure Machine SCADA Expert y Pro-face BLUE Open Studio.
Para las vulnerabilidades CVE-2025-11565, CVE-2025-11566 y CVE-2025-11567, Schneider Electric recomienda actualizar PowerChute Serial Shutdown a la versión v1.4 o posterior. En el caso concreto de CVE-2025-11567, si el software está instalado en una carpeta personalizada. Se deben revisar y ajustar los permisos de dicha carpeta conforme a las indicaciones del Manual de Seguridad.
- CVE-2025-9317: esta vulnerabilidad usa algoritmos criptográficos débiles, lo que podría permitir a un ciberdelincuente descifrar datos sensibles o acceder a contraseñas contenidas en proyectos o archivos locales.
- CVE-2025-11565: recorrido de rutas que podría causar acceso elevado al sistema cuando un usuario administrador web en la red local manipula la carga útil de la solicitud POST/REST/UpdateJRE.
- CVE-2025-11566: restricción inadecuada de intentos de autenticación excesivos que podría permitir a un atacante en la red local obtener acceso a la cuenta del usuario realizando un número arbitrario de intentos de autenticación, con diferentes credenciales en el punto final /REST/shutdownnow.
- CVE-2025-11567: vulnerabilidad en los permisos predeterminados incorrectos que podría causar acceso elevado al sistema cuando la carpeta de instalación de destino no está debidamente protegida.
