Se ha identificado una vulnerabilidad de severidad alta que afecta a los controladores Modicon de Schneider Electric. Un actor malicioso remoto podría explotar esta vulnerabilidad para la lectura no autenticada de archivos arbitrarios, lo que podría resultar en la pérdida de datos confidenciales almacenados en el controlador.
Productos afectados
Schneider Electric
- Controladores Modicon M241 / M251, versiones anteriores a v5.3.12.48
- Controlador Modicon M258 / LMC058, todas las versiones
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-2875: con una puntuación de 8.7 en CVSS v4.0 y 7.8 en CVSS v3.1. Esta vulnerabilidad podría permitir a un actor malicioso el uso tras liberación en X.Org y Xwayland. Al eliminar un dispositivo mientras aún está congelado, los eventos en cola para ese dispositivo permanecen mientras se libera. La reproducción de estos eventos podía provocar un uso tras liberación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-133-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-133-01.pdf
https://nvd.nist.gov/vuln/detail/CVE-2025-26600
https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp