Se ha descubierto cuatro nuevas vulnerabilidades con alta severidad en algunos productos de Schneider Electric. Tales vulnerabilidades, si se explotan, podrían permitir a un actor malicioso elevar sus privilegios, acceder a información confidencial y eludir los mecanismos de autenticación en los sistemas de destino.
Productos y versiones afectados
Schneider Electric
• PowerChuteTM Serial Shutdown, versión v1.3 y versiones anteriores
• Pro-face BLUE Open Studio, versiones anteriores a 2023.1 Parche 1
• EcoStruxureTM Machine SCADA Expert, versiones anteriores a 2023.1 Parche 1
Impacto
Algunas de las vulnerabilidades se han identificado como:
• CVE-2025-9317: con una puntuación de 8.3 en CVSS:4.0. Existe una vulnerabilidad que, si se explota, podría permitir a un actor malicioso con acceso de lectura a archivos de Edge Project o archivos de caché sin conexión de Edge a revertir ingeniería de contraseñas de usuarios de Edge a través del forzamiento bruto computacional de hashes débiles.
• CVE-2025-11565: con una puntuación de 7.3 en CVSS:4.0. Existe una vulnerabilidad en limitación incorrecta de un nombre de ruta a una vulnerabilidad de directorio restringido (‘Path Traversal’) que podría causar un acceso elevado al sistema cuando un usuario de administración web en la red local manipula la carga útil de solicitud de POST /REST/UpdateJRE.
• CVE-2025-11567: con una puntuación de 7.3 en CVSS:4.0. Existe una vulnerabilidad de permisos predeterminada incorrecta que podría causar un acceso elevado al sistema cuando la carpeta de instalación de destino no está correctamente protegida.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
https://nvd.nist.gov/vuln/detail/CVE-2025-9317
https://www.cve.org/CVERecord?id=CVE-2025-11565
https://www.cve.org/CVERecord?id=CVE-2025-11567