Se ha descubierto una vulnerabilidad de severidad alta en controladores Modicon M340 y módulos de comunicación de Schneider Electric. Esta vulnerabilidad podría ser explotada para causar una condición de denegación de servicio.
Productos afectados
- Modicon M340, todas las versiones.
- BMXNOR0200H: Ethernet / Serial RTU Module, todas las versiones.
- BMXNGD0100: Módulo M580 Global Data, todas las versiones.
- BMXNOC0401: Modicon M340 módulos X80 Ethernet Communication, todas las versiones.
- BMXNOE0100: Módulo Modbus/TCP Ethernet Modicon M340, versiones anteriores a 3.60.
- BMXNOE0110: Módulo Modbus/TCP Ethernet Modicon M340 FactoryCast, versiones anteriores a 6.80.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-6625: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad debido a una inadecuada validación de entrada. Un actor malicioso podría enviar comandos FTP especialmente diseñados al dispositivo objetivo para causar una condición de denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-6625
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-224-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-224-05.pdf