Actualizaciones para productos Siemens

21/11/2025 Noticias 0

Siemens ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus productos, incluyendo 9 con alta severidad.

Productos y versiones afectados

Siemens

• Altair Grid Engine

• LOGO! 12/24RCE (6ED1052-1MD08-0BA2)

• LOGO! 12/24RCEo (6ED1052-2MD08-0BA2)

• LOGO! 230RCE (6ED1052-1FB08-0BA2)

• LOGO! 230RCEo (6ED1052-2FB08-0BA2)

• LOGO! 24CE (6ED1052-1CC08-0BA2)

• LOGO! 24CEo (6ED1052-2CC08-0BA2)

• LOGO! 24RCE (6ED1052-1HB08-0BA2)

• LOGO! 24RCEo (6ED1052-2HB08-0BA2)

• SIPLUS LOGO! 12/24RCE (6AG1052-1MD08-7BA2)

• SIPLUS LOGO! 12/24RCEo (6AG1052-2MD08-7BA2)

• SIPLUS LOGO! 230RCE (6AG1052-1FB08-7BA2)

• SIPLUS LOGO! 230RCEo (6AG1052-2FB08-7BA2)

• SIPLUS LOGO! 24CE (6AG1052-1CC08-7BA2)

• SIPLUS LOGO! 24CEo (6AG1052-2CC08-7BA2)

• SIPLUS LOGO! 24RCE (6AG1052-1HB08-7BA2)

• SIPLUS LOGO! 24RCEo (6AG1052-2HB08-7BA2)

• Siemens Software Center

• Solid Edge SE2025

• Spectrum Power 4

Impacto

Algunas de las vulnerabilidadades se han identificado como:

• CVE-2024-32011: con una puntuación de 8.7 en CVSS 4.0. Existe una vulnerabilidad en Spectrum Power 4 (Todas las versiones < V4.70 SP12 Update 2). La aplicación afectada es vulnerable a ejecutar comandos arbitrarios a través de la interfaz de usuario. Esta interfaz de usuario se puede utilizar a través de la red y podría permitir la ejecución de comandos como usuario de aplicaciones administrativas.

• CVE-2025-40744: con una puntuación de 8.7 en CVSS 4.0. Existe una vulnerabilidad en Solid Edge SE2025 (Todas las versiones < V225.0 Update 11). Las aplicaciones afectadas no validan correctamente los certificados de cliente para conectarse al punto final del servicio de licencia. Esto podría permitir que un actor malicioso remoto no autenticado realice ataques en el medio.

• CVE-2025-40763: con una puntuación de 8.5 en CVSS 4.0. Existe una vulnerabilidad en Altair Grid Engine (Todas las versiones < V2026.0.0). Los productos afectados no validan correctamente las variables de entorno al cargar bibliotecas compartidas, lo que podría permitir el secuestro de rutas a través de la sustitución de bibliotecas maliciosas. Esto podría permitir a un actor malicioso local ejecutar código arbitrario con privilegios de superusuario manipulando la variable de entorno y colocando una biblioteca maliciosa en la ruta controlada.

Recomendación

Actualizar los productos afectados a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.siemens.com/global/en/products/services/cert.html#SiemensSecurityAdvisories

https://www.cve.org/CVERecord?id=CVE-2024-32011

https://www.cve.org/CVERecord?id=CVE-2025-40744

https://www.cve.org/CVERecord?id=CVE-2025-40763