Múltiples vulnerabilidades en productos Schneider Electric

13/08/2025 Noticias 0

Se han descubierto múltiples vulnerabilidades de severidad alta en productos Schneider Electric. Un actor malicioso podría lograr la ejecución remota de código, la divulgación de información o una denegación de servicio.

Productos afectados

  • EcoStruxure Power Monitoring Expert (PME), versiones 2022, 2023, 2024, 2024 R2.
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module, versiones 2022 Advanced Reporting Module, 2024 Advanced Reporting Module.
  • SESU, versiones anteriores a 3.0.12.
  • Modicon M340, todas las versiones.
  • BMXNOR0200H, BMXNGD0100, BMXNOC0401 (afectando a algunos módulos), todas las versiones.
  • BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module, versiones anteriores a 3.50.
  • BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module, versiones anteriores a 6.70.

Impacto

Las vulnerabilidades se han identificado como:

CVE-2025-54923: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de deserialización de datos no confiables cuando un usuario autenticado envía datos manipulados a un servicio expuesto en la red que realiza una deserialización insegura. Un actor malicioso podría lograr la ejecución remota de código y comprometer la integridad del sistema.

CVE-2025-54924: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) al enviar un documento especialmente diseñado a un endpoint vulnerable. Un actor malicioso podría conseguir el acceso no autorizado a información sensible.

CVE-2025-54925: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) al configurar la aplicación para acceder a una URL maliciosa. Un actor malicioso podría conseguir el acceso no autorizado a información sensible.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
  • https://www.cve.org/CVERecord?id=CVE-2025-54923
  • https://www.cve.org/CVERecord?id=CVE-2025-54924
  • https://www.cve.org/CVERecord?id=CVE-2025-54925