Se han identificado múltiples vulnerabilidades que afectan a los controladores Modicon de Schneider Electric. Un actor malicioso remoto podría explotar estas vulnerabilidades para producir denegación de servicio e inyección de datos no validados.
Productos afectados
- Controladores Modicon M241: versiones anteriores a 5.3.12.51
- Controladores Modicon M251: versiones anteriores a 5.3.12.51
- Controladores Modicon M262: versiones anteriores a la 5.3.9.18
- Controladores Modicon M258: Todas las versiones
- Controladores Modicon LMC058: Todas las versiones
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-3898: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de validación de entrada incorrecta que podría causar una denegación de servicio cuando un usuario malicioso autenticado envía una solicitud HTTPS que contiene un tipo de datos no válido al servidor web.
CVE-2025-3112: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de consumo descontrolado de recursos que podría provocar una denegación de servicio cuando un usuario malicioso autenticado envía un encabezado Content-Length HTTPS manipulado al servidor web.
CVE-2025-3116: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de validación de entrada incorrecta que podría causar una denegación de servicio cuando un usuario malicioso autenticado envía una solicitud HTTPS malformada especial que contiene datos de cuerpo con formato incorrecto al controlador.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-3898
- https://nvd.nist.gov/vuln/detail/CVE-2025-3112
- https://nvd.nist.gov/vuln/detail/CVE-2025-3116
- https://www.se.com/us/en/download/document/SEVD-2025-161-02/