Schneider Electric ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus productos, entre ellas tres de severidad alta. Esto podría permitir a un actor malicioso laomisión de la autenticación, la lectura arbitraria de archivos o la elevación de privilegios en los sistemas afectados.
Productos afectados
- Easergy C5
- Easergy MiCOM C264
- Easergy MiCOM C434
- Easergy MiCOM P30
- Easergy MiCOM P138
- Easergy MiCOM P139
- Easergy MiCOM P439
- Easergy MiCOM P539
- Easergy MiCOM P632
- Easergy MiCOM P633
- Easergy MiCOM P634
- EasyLogic T150
- Unidad terminal y controlador remoto EasyLogic T150
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-4827: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de entropía insuficiente que podría conducir a un acceso no autorizado. Un actor malicioso en la red podría explotar las debilidades en las protecciones de administración de sesiones.
CVE-2025-0327: con una puntuación de 8.5 en CVSS v4.0. Existe una vulnerabilidad de gestión de privilegios inadecuada en los servicios. Esto podría provocar una pérdida de confidencialidad, integridad y disponibilidad de la estación de trabajo de ingeniería si un actor malicioso con privilegios estándar modifica la ruta de acceso de los servicios de Windows.
CVE-2026-6866: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de inicialización de un recurso con una configuración predeterminada insegura, que podría provocar la divulgación no autorizada de información confidencial cuando, en raras ocasiones, las credenciales vuelven a su configuración inicial, lo que podría permitir la autenticación no autorizada mediante credenciales conocidas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias