Schneider Electric informuje o nowych podatnościach w swoich produktach. (P26-082)

utworzone przez | mar 12, 2026 | ICS

ProduktModicon M241/M251 – wersje starsze niż 5.4.13.12
Modicon M262 – wersje starsze niż 5.4.10.12
Numer CVECVE-2025-13901
Krytyczność5.3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
OpisIstnieje luka w zabezpieczeniach polegająca na nieprawidłowym wyłączeniu lub zwolnieniu zasobów, która może spowodować częściową odmowę usługi w protokole Machine Expert, gdy nieuwierzytelniony atakujący wyśle ​​złośliwy ładunek, aby zająć aktywne kanały komunikacyjne.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-01.pdf
ProduktModicon Controllers M241/M251 – wersje starsze niż 5.4.13.12
Modicon Controllers M258/LMC058 – wszystkie wersje
Numer CVECVE-2025-13902
Krytyczność5.4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 
OpisIstnieje luka w zabezpieczeniach polegająca na nieprawidłowej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”), która może spowodować sytuację, w której uwierzytelnieni atakujący mogą sprawić, że przeglądarka ofiary uruchomi dowolny kod JavaScript, gdy ofiara najedzie kursorem na złośliwie spreparowany element na serwerze internetowym zawierający wstrzyknięty ładunek.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-02.pdf
ProduktEcoStruxure™ Foxboro DCS – wersje starsze niż CS8.1
Numer CVECVE-2026-1286
Krytyczność6.5/10
CVSSAV:L/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach polegająca na deserializacji niezaufanych danych, która może prowadzić do utraty poufności, integralności, a także potencjalnego zdalnego wykonania kodu na stacji roboczej, gdy uwierzytelniony użytkownik z uprawnieniami administratora otworzy złośliwy plik projektu.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-03.pdf
ProduktEcoStruxure™ Automation Expert – wersje starsze niż v25.0.1
Numer CVECVE-2026-2273
Krytyczność8.2/10
CVSSAV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach polegająca na niewłaściwej kontroli generowania kodu („wstrzykiwaniu kodu”), która może spowodować wykonywanie niezaufanych poleceń na stacji roboczej inżyniera, co może skutkować ograniczonym naruszeniem bezpieczeństwa stacji roboczej i potencjalną utratą poufności, integralności i dostępności systemu, gdy uwierzytelniony użytkownik otworzy złośliwy plik projektu.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-04.pdf
ProduktEcoStruxure™ IT Data Center Expert (dawniej StruxureWare Data Center Expert) – wersje 9.0 i starsze
Numer CVECVE-2025-13957
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach związana z wykorzystaniem zakodowanych na stałe poświadczeń, która może spowodować ujawnienie informacji i zdalne wykonanie kodu, gdy serwer proxy SOCKS jest włączony, a znane są poświadczenia administratora i poświadczenia bazy danych PostgreSQL. Serwer proxy SOCKS jest domyślnie wyłączony.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-05.pdf
ProduktEcoStruxure™ Power Monitoring Expert (PME) – wersje 2022, 2023, 2023 R2, 2024, 2024 R2
EcoStruxure™ Power Operation (EPO) Advanced Reporting and Dashboards Module – wersje 2022, 2024
Numer CVECVE-2025-11739
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisIstnieje luka w zabezpieczeniach umożliwiająca deserializację niezaufanych danych, która może spowodować wykonanie dowolnego kodu z uprawnieniami administratora, gdy lokalnie uwierzytelniony atakujący wyśle ​​zmodyfikowany strumień danych, uruchamiając niebezpieczną deserializację.
  
AktualizacjaTAK
Linkhttps://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-069-06&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-069-06.pdf