Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha de publicación 10/03/2026
Identificador
INCIBE-2026-178
Importancia
4 - Alta
Recursos Afectados
  • EcoStruxure™ Power Monitoring Expert (PME):
    • Versión 2022;
    • Versión 2023;
    • Versión 2023 R2;
    • Versión 2024;
    • Versión 2024 R2;
  • EcoStruxure™ Power Operation (EPO) Advanced Reporting and Dashboards Module:
    • Versión 2022;
    • Versión 2024;
  • EcoStruxure™ IT Data Center Expert (normalmente conocido como StruxureWare Data Center Expert), v9.0 y todas las versiones anteriores.
  • EcoStruxure™ Automation Expert, todas las versiones anteriores a v25.0.1.
  • EcoStruxure™ Foxboro DCS, todas las versiones anteriores a CS8.1.
Descripción

Raffaele Bova de Nozomi Networks, CNCERT y un informador anónimo han informado sobre 4 vulnerabilidades de severidad alta que, en caso de ser explotadas podrían comprometer el sistema local, interrumpir las operaciones, permitir el control administrativo no autorizado y acceso a los datos del sistema.

Solución

Se recomienda actualizar los siguientes productos:

  • EcoStruxure™ Power Monitoring Expert (PME):
    • Hotfix_279338_Release_2024R2
    • Versión 2024 R3;
    • Hotfix_282807;
    • Hotfix_282807;
    • Hotfix_282807.
  • EcoStruxure™ IT Data Center Expert versión v9.1;
  • EcoStruxure™ Automation Expert versión v25.0.1;
  • EcoStruxureTM Foxboro DCS versión CS 8.1.

Contacte con Schneider Electric para resolver cualquier duda adicional.

Detalle
  • CVE-2025-11739: deserialización de datos no confiables que podría permitir a un atacante local ejecutar código arbitrario pudiendo así comprometer el sistema, interrumpir las operaciones y/o permitir el control administrativo no autorizado.
  • CVE-2025-13957: vulnerabilidad sobre el uso de credenciales codificadas que podría permitir que un atacante divulgue información y provocar la interrupción de las operaciones y el acceso a los datos del sistema.
  • CVE-2026-2273: vulnerabilidad de inyección de código que podría permitir que atacantes ejecuten comandos arbitrarios en la estación de trabajo y comprometer la seguridad del sistema.
  • CVE-2026-1286: deserialización de datos no confiables lo que podría dar lugar a la pérdida de confidencialidad e integridad y a la posible ejecución remota de código en la estación de trabajo comprometida.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-11739 Alta No Schneider Electric
CVE-2025-13957 Alta No Schneider Electric
CVE-2026-2273 Alta No Schneider Electric
CVE-2026-1286 Alta No Schneider Electric
Listado de referencias
Deserialization of Untrusted Data vulnerability on Multiple Products
Use of Hard-coded Credentials vulnerability in EcoStruxure™ IT Data Center Expert
Improper Control of Generation of Code ('Code Injection') vulnerability on EcoStruxure™ Automation Expert
Deserialization of Untrusted Data vulnerability on EcoStruxure™ Foxboro DCS
Schneider Electric EcoStruxure Data Center Expert Hard-coded Password Remote Code Execution Vulnerability
ICSA-26-076-03 -Schneider Electric EcoStruxure IT Data Center Expert
ICSA-26-078-03 - Schneider Electric EcoStruxure Automation Expert
Etiquetas