Múltiples vulnerabilidades Plant iT/Brewmaxx de Schneider Electric
Plant iT/Brewmaxx 9.60 y versiones posteriores.
Schneider Electric ha reportado 4 vulnerabilidades: 1 de severidad crítica, otra de severidad alta y 2 medias que, en caso de ser explotadas, podrían conllevar el riesgo de una escalada de privilegios, lo que podría resultar en la ejecución remota de código.
Instalación del parche de mitigación: ProLeiT-2025-001 a través del soporte de ProLeiT.
Para las vulnerabilidades de severidad crítica y alta, el producto afectado utiliza Redis, una base de datos en memoria de código abierto. Las versiones 8.2.1 e inferiores permiten que un usuario autenticado utilice un script Lua especialmente diseñado para:
- CVE-2025-49844: manipular el recolector de basura, provocar un error de uso de memoria liberada y, potencialmente, conducir a la ejecución remota de código.
- CVE-2025-46817: manipular diferentes objetos LUA y, potencialmente, ejecutar su propio código en el contexto de otro usuario.
Para las vulnerabilidades de severidad media se ha asignad los identificadores CVE-2025-46818 y CVE-2025-46819.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-49844 | Crítica | No | Schneider Electric |
| CVE-2025-46817 | Alta | No | Schneider Electric |
