Actualizaciones para productos Siemens

16/07/2025 Noticias 0

Siemens ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus productos. Un actor malicioso remoto podría explotar estas vulnerabilidades para la ejecución de código arbitrario, escritura arbitraria de archivos, elevación de privilegios, omisión de funciones de seguridad, evasión de restricciones de seguridad o suplantación de identidad en el sistema afectado.

Productos afectados

  • RUGGEDCOM ROS V4.X family
  • RUGGEDCOM ROS V5.X family
  • SICAM TOOLBOX II
  • SINEC NMS
  • Solid Edge SE2025
  • TIA Administrator

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2025-40736: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad que expone un endpoint que podría permitir la modificación no autorizada de credenciales administrativas. Esto podría permitir que un actor malicioso no autenticado restablezca la contraseña de superadministrador y obtenga el control total de la aplicación

CVE-2025-40735: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL, que podría permitir a un actor malicioso la ejecución de consultas SQL arbitrarias en la base de datos del servidor.

CVE-2025-41224: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en las restricciones de acceso a la interfaz al cambiar de una configuración de interfaz de administración a una de no administración hasta que se reinicia el sistema, a pesar de que la configuración se haya guardado. Esto podría permitir que un actor malicioso con acceso a la red y credenciales acceda al dispositivo a través de una configuración de no administración y mantenga el acceso SSH hasta el reinicio.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://cert-portal.siemens.com/productcert/html/ssa-573669.html
  • https://cert-portal.siemens.com/productcert/html/ssa-183963.html
  • https://cert-portal.siemens.com/productcert/html/ssa-091753.html
  • https://cert-portal.siemens.com/productcert/html/ssa-083019.html
  • https://cert-portal.siemens.com/productcert/html/ssa-078892.html
  • https://nvd.nist.gov/vuln/detail/CVE-2025-40736
  • https://nvd.nist.gov/vuln/detail/CVE-2025-40735
  • https://nvd.nist.gov/vuln/detail/CVE-2025-41224