[Actualización 16/07/2025] Elemento de ruta de búsqueda no controlada en productos de Schneider Electric
Los siguientes productos y versiones de Schneider Electric EcoStruxure, que incorporan Revenera FlexNet Publisher, se ven afectados:
- EcoStruxure OPC UA Server Expert: todas las versiones;
- EcoStruxure Control Expert Asset Link: versiones anteriores a V4.0 SP1;
- EcoStruxure Machine SCADA Expert Asset Link: todas las versiones;
- EcoStruxure Architecture Builder: versiones anteriores a V7.0.18;
- Vijeo Designer: versiones anteriores a V6.3SP1 HF1;
- EcoStruxure Machine Expert, incluyendo EcoStruxure Machine Expert Safety: todas las versiones;
- EcoStruxure Machine Expert Twin: todas las versiones;
- Zelio Soft 2: todas las versiones.
[Actualización 16/07/2025]
- EcoStruxure Control Expert: versiones anteriores a V16.2;
- EcoStruxure Process Expert: Versiones anteriores a 2023 (v4.8.0.5715);
- EcoStruxure Process Expert para la plataforma del sistema AVEVA: todas las versiones;
- EcoStruxure Operator Terminal Expert: versiones anteriores a la v4.0;
- Pro-face BLUE: Versiones anteriores a la v4.0.
Xavier DANEST, de Trend Micro Zero Day Initiative, ha informado de un vulnerabilidad de severidad alta que podría permitir una escalada de privilegios locales. Lo que daría la posibilidad a un atacante de ejecutar una biblioteca dinámica (DLL) maliciosa en los sistemas afectados.
Schneider Electric recomienda actualizar a las siguientes versiones:
- EcoStruxure Architecture Builder: versión V7.0.18.
- EcoStruxure Control Expert Asset Link: versión V4.0 SP1.
- Vijeo Designer: versión V6.3SP1 HF1.
[Actualización 16/07/2025]
- EcoStruxure Control Expert: Versiones anteriores a la V16.2.
- EcoStruxure Process Expert: Versiones 2023 anteriores a la v4.8.0.5115.
- EcoStruxure Process Expert: versiones anteriores a 2023.
- EcoStruxure Operator Terminal Expert: Versiones anteriores a la 4.0.
- Pro-face BLUE: Versiones anteriores a la 4.0.
Una configuración incorrecta en lmadmin.exe de las versiones de FlexNet Publisher anteriores a 2024 R1 (11.19.6.0) permite que el archivo de configuración de OpenSSL se cargue desde un directorio inexistente. Un atacante podría aprovechar esta vulnerabilidad para ejecutar una DLL maliciosa, lo que resultaría en una escalada de privilegios locales. Se ha asignado el identificador CVE-2024-2658 para esta vulnerabilidad.
