Se han descubierto vulnerabilidades en la plataforma EcoStruxure Process Expert de Schneider Electric. Un actor malicioso podría provocar una denegación de servicio o acceder a información sensible del sistema.
Productos afectados
- EcoStruxure Process Expert: versiones anteriores a 2025
- EcoStruxure Process Expert for AVEVA System Platform: versiones anteriores a la última.
- EcoStruxure Power Build Rapsody software: versiones anteriores a la última.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-13845: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de uso después de liberación en EcoStruxure Power Build Rapsody software. Un actor malicioso remoto podría provocar la ejecución de código arbitrario cuando el usuario importa un archivo de proyecto malicioso en el sistema afectado.
CVE-2025-13905: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de permisos predeterminados incorrectos en EcoStruxure Process Expert. Un actor malicioso podría provocar una elevación de privilegios a través de un shell reverso cuando uno o mas binarios de servicio ejecutables son modificados en la carpeta de instalación por un usuario local con privilegios normales.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias