Vulnerabilidades en Productos de Schneider Electric

08/04/2025 Noticias 0

Se han identificado nuevas vulnerabilidades en el ConneXium Network Manager de Schneider Electric. Entre ellas, se destacan dos vulnerabilidades de gravedad alta que podrían ser explotadas para escalar privilegios, provocar la filtración de información o causar una denegación de servicio.

Producto afectado

  • ConneXium Network Manager, todas las versiones.

Impacto

Las vulnerabilidades aún no cuentan con una descripción detallada ni puntuación CVSS en las páginas que las catalogan, pero ya se encuentran métricas realizadas por el fabricante y se identifican como:

CVE-2025-2222: Con puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de Archivos o Directorios Accesibles para Partes Externas (CWE-552) a través de HTTPS, que podría provocar fugas de información y una posible escalada de privilegios tras un ataque de tipo hombre en el medio (Man-in-the-Middle).

CVE-2025-2223: Con puntuación de 8.4 en CVSS v4.0. Existe una vulnerabilidad de Validación Incorrecta de Entradas (CWE-20) que podría causar la pérdida de Confidencialidad, Integridad y Disponibilidad de la estación de trabajo de ingeniería cuando un archivo de proyecto malicioso es cargado por un usuario desde el sistema local.

Recomendación

De acuerdo con el boletín de seguridad del proveedor aplicar las siguientes mitigaciones.

-Deshabilitar el servidor web (deshabilitado por defecto)

-Abrir únicamente archivos de proyecto que provengan de fuentes confiables.

-Calcular un hash de los archivos de proyecto y verificar regularmente la consistencia de este hash para asegurar su integridad antes de su uso.

-Cifrar los archivos de proyecto al almacenarlos y restringir el acceso únicamente a usuarios de confianza.

-Al intercambiar archivos a través de la red, utilizar protocolos de comunicación seguros.

    Para más información revisar el boletín de seguridad del proveedor en el siguiente enlace.

    https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-098-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-098-01.pdf

    Referencias

    • https://www.cve.org/CVERecord?id=CVE-2025-2222
    • https://www.cve.org/CVERecord?id=CVE-2025-2223
    • https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp
    Compartir: