Múltiples vulnerabilidades en productos Schneider Electric
- Modicon Controllers M241/M251;
- Modicon Controllers M262;
- Modicon Controllers M258 / LMC058;
- EVLink WallBox.
Para conocer las versiones afectadas de los dispositivos Modicon Controllers, se recomienda consultar los enlaces de las referencias.
Los productos de Schneider Electric están afectados por 10 vulnerabilidades, 5 de ellas de severidad alta y las otras 5 media. Su explotación podría permitir una Denegación de Servicio, la modificación de parámetros del servidor web y la lectura y escritura de datos y ficheros en el sistema, entre otros.
Para las siguientes versiones de Modicon Controllers el fabricante ha realizado una actualización que soluciona los problemas:
Se recomienda emplear la característica Controller Assistant de EcoStruxure™ Automation Expert – Motion V24.1 para actualizar el firmware de los productos y reiniciarlo.
Para los productos Modicon Controllers M258 / LMC058 el fabricante está trabajando en una actualización que solucione estos problemas. Mientras tanto, como medidas de mitigación se recomienda realizar las siguientes acciones para reducir el riesgo de explotación:
- Utilizar los controladores y dispositivos únicamente en un entorno protegido para minimizar la exposición a la red y asegurarse de que no están accesibles desde Internet o redes no confiables.
- Asegurarse de utilizar un gestor de usuarios y contraseñas. Los privilegios de los usuarios están habilitados por defecto y se les obliga crear una contraseña fuerte en el primer acceso.
- Desactivar el servidor web después de usarlo cuando no se vaya a utilizar.
- Utilizar enlaces de comunicación cifrados.
- Realizar una segmentación de red y emplee un cortafuegos para bloquear todo el acceso no autorizado a los puertos 80/HTTP y 443/HTTPs.
- En caso de realizar un acceso remoto, emplear túneles VPN.
- Consultar la guía “Cybersecurity Guidelines for EcoStruxure Machine Expert, Modicon and PacDrive Controllers and Associated Equipment” para proteger mejor el equipo.
Para los usuarios de EVLink WallBox, se informa que este producto alcanzó el final de su vida útil (EOL) y no tiene mantenimiento. Se recomienda realizar las siguientes acciones para reducir el riesgo de exposición:
- Realizar una segmentación de red y configure un cortafuegos para bloquear todo el tráfico no autorizado a los puertos HTTP.
- Verificar los registros de acceso periódicamente.
- Aplicar una política de contraseñas seguras.
- Debido a que el producto está al final de su vida útil, se recomienda valorar su sustitución por otro producto que sí tiene mantenimiento como EVLink Pro AC
Las vulnerabilidades de severidad alta son:
- CVE-2025-3898: validación incorrecta de entrada. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía una solicitud HTTPS al servidor web que contenga tipos de datos no válidos.
- CVE-2025-3112: consumo de recursos incontrolado. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía una cabecera HTTPS Content-Length manipulada, al servidor web.
- CVE-2025-3116: validación incorrecta de entrada. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía al controlador una solicitud HTTPS especial que contiene un cuerpo de datos mal formado.
- CVE-2025-5740: limitación incorrecta de nombre de ruta a un directorio restringido («Path Traversal»). Podría provocar una escritura arbitraria de archivos cuando un usuario, no autenticado, modifica la ruta de ficheros en el servidor web.
- CVE-2025-5743: neutralización incorrecta de elementos especiales empleados en un comando del Sistema Operativo («OS Command Injection»). Podría permitir el control remoto de la estación de carga cuando un usuario autenticado modifica los parámetros de configuración en el servidor web.
El resto de vulnerabilidades y su descripción se pueden consultar en los enlaces de las referencias.
