Se han identificado nuevas vulnerabilidades que afectan a EcoStruxure IT Data Center Expert de Schneider Electric. Un actor malicioso remoto podría explotar estas vulnerabilidades para la divulgación de información o ejecución remota de código en el sistema afectado.
Productos afectados
- EcoStruxure IT Data Center Expert, versiones v8.3 y anteriores
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-50121: con una puntuación de 9.5 en CVSS v4.0. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘OS Command Injection’), que podría causar la ejecución remota de código no autenticado al crear una carpeta maliciosa a través de la interfaz web HTTP cuando está habilitada
CVE-2025-50122: con una puntuación de 8.9 en CVSS v4.0. Existe una vulnerabilidad de entropía insuficiente que podría provocar el descubrimiento de la contraseña de root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
CVE-2025-50123: con una puntuación de 7.2 en CVSS v4.0. Existe una vulnerabilidad de control inadecuado de la generación de código (‘Code Injection’) que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor mediante una consola o mediante la explotación de la entrada del nombre de host.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-50121
- https://www.cve.org/CVERecord?id=CVE-2025-50122
- https://www.cve.org/CVERecord?id=CVE-2025-50123
- https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp