Siemens ha lanzado actualizaciones de seguridad para remediar múltiples vulnerabilidades de severidad alta y crítica. Estas vulnerabilidades podrían ser explotadas para lograr la ejecución remota de código, la divulgación de información o provocar una denegación de servicio.
Productos afectados
- SIMATIC PCS neo, versión V4.1, todas las versiones.
- SIMATIC PCS neo, versión V5.0, todas las versiones.
- SIMATIC Virtualization as a Service (SIVaaS), todas las versiones.
- User Management Component (UMC), versiones anteriores a V2.15.1.3.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-40795: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en pila en el componente UMC integrado. Un actor malicioso podría lograr la ejecución arbitraria de código o provocar una denegación de servicio.
CVE-2025–40804: con una puntuación de 9.4 en CVSS v4.0. SIMATIC Virtualization as a Service (SIVaaS) en todas sus versiones expone una sección de su red sin requerir autenticación. Un actor malicioso podría acceder o modificar datos sensibles.
CVE-2025–40796: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de lectura fuera de límites en el componente UMC integrado. Un actor malicioso podría provocar una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante o aplicar las mitigaciones recomendadas por el fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-40795
- https://www.cve.org/CVERecord?id=CVE-2025-40804
- https://www.cve.org/CVERecord?id=CVE-2025-40796
- https://www.cve.org/CVERecord?id=CVE-2025-40797
- https://www.cve.org/CVERecord?id=CVE-2025-40798
- https://cert-portal.siemens.com/productcert/html/ssa-722410.html
- https://cert-portal.siemens.com/productcert/html/ssa-534283.html