Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 16/07/2025] Elemento de ruta de búsqueda no controlada en productos de Schneider Electric

Fecha de publicación 07/02/2025
Identificador
INICBEaviso-2025-0061
Importancia
4 - Alta
Recursos Afectados

Los siguientes productos y versiones de Schneider Electric EcoStruxure, que incorporan Revenera FlexNet Publisher, se ven afectados:

  • EcoStruxure OPC UA Server Expert: todas las versiones;
  • EcoStruxure Control Expert Asset Link: versiones anteriores a V4.0 SP1;
  • EcoStruxure Machine SCADA Expert Asset Link: todas las versiones;
  • EcoStruxure Architecture Builder: versiones anteriores a V7.0.18;
  • Vijeo Designer: versiones anteriores a V6.3SP1 HF1;
  • EcoStruxure Machine Expert, incluyendo EcoStruxure Machine Expert Safety: todas las versiones;
  • EcoStruxure Machine Expert Twin: todas las versiones;
  • Zelio Soft 2: todas las versiones.
Descripción

Xavier DANEST, de Trend Micro Zero Day Initiative, ha informado de un vulnerabilidad de severidad alta que podría permitir una escalada de privilegios locales. Lo que daría la posibilidad a un atacante de ejecutar una biblioteca dinámica (DLL) maliciosa en los sistemas afectados. 

Solución

Schneider Electric recomienda actualizar a las siguientes versiones:

  • EcoStruxure Architecture Builder: versión V7.0.18.
  • EcoStruxure Control Expert Asset Link: versión V4.0 SP1.
  • Vijeo Designer: versión V6.3SP1 HF1.
Detalle

Una configuración incorrecta en lmadmin.exe de las versiones de FlexNet Publisher anteriores a 2024 R1 (11.19.6.0) permite que el archivo de configuración de OpenSSL se cargue desde un directorio inexistente. Un atacante podría aprovechar esta vulnerabilidad para ejecutar una DLL maliciosa, lo que resultaría en una escalada de privilegios locales. Se ha asignado el identificador CVE-2024-2658 para esta vulnerabilidad.