Ver CSAF
1. Resumen ejecutivo
CVSS V4 7.1
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: Schneider Electric
Equipo: Controladores Modicon
Vulnerabilidades: Validación de entrada incorrecta, neutralización incorrecta de la entrada durante la generación de páginas web (‘secuencias de comandos de sitios cruzados’), consumo de recursos no controlados
2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante ejecute código arbitrario en el dispositivo o cause una condición de denegación de servicio.
3. Detalles técnicos
3.1 Productos afectados
Schneider Electric informa que los siguientes productos se ven afectados:
Controladores Modicon M241: Versiones anteriores a 5.3.12.51
Controladores Modicon M251: Versiones anteriores a 5.3.12.51
Controladores Modicon M262: versiones anteriores a 5.3.9.18 (CVE-2025-3898, CVE-2025-3117)
Controladores Modicon M258: Todas las versiones (CVE-2025-3905, CVE-2025-3116, CVE-2025-3117)
Controladores Modicon LMC058: Todas las versiones (CVE-2025-3905, CVE-2025-3116, CVE-2025-3117)
3.2 Descripción general de vulnerabilidad
3.2.1 Validación de entrada incorrecta CWE-20
Existe una vulnerabilidad de validación de entrada inadecuada que podría causar una condición de denegación de servicio cuando un usuario malicioso autenticado envía una solicitud HTTPS que contiene un tipo de datos no válidos al servidor web.
CVE-2025-3898 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.5; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: N/I: N/A: H).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3898. Se ha calculado una puntuación base de 7.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: N/VC: N/VI: N/VA: H/SC: N/SI: N/SA: N).
3.2.2 Neutralización inadecuada de la entrada durante la generación de páginas web (‘Scripting de sitios cruzados’) CWE-79
Existe una neutralización inadecuada de la entrada durante la vulnerabilidad de la generación de páginas web (‘scripting de sitios cruzados’) en la página de certificados en el servidor web que podría hacer que un usuario malicioso autenticado que conduzca conduzca a la modificación o lectura de datos en el navegador de una víctima.
CVE-2025-3899 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5.4; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: C/C: L/I: L/A: N).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3899. Se ha calculado una puntuación base de 5.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: P/VC: N/VI: L/VA: N/SC: L/SI: L: L: N).
3.2.3 Consumo de recursos no controlado CWE-400
Existe una vulnerabilidad de consumo de recursos no controlada que podría causar una condición de denegación de servicio cuando un usuario malicioso autenticado envía un encabezado manipulado de contenido HTTPS al servidor web.
CVE-2025-3112 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.5; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: N/I: N/A: H).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3112. Se ha calculado una puntuación base de 7.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: N/VC: N/VI: N/VA: H/SC: N/SI: N/SA: N).
3.2.4 Neutralización inadecuada de la entrada durante la generación de páginas web (‘Scripting de sitios cruzados’) CWE-79
Existe una neutralización inadecuada de la entrada durante la vulnerabilidad de la generación de páginas web (‘scripting de sitios cruzados’) que impactan las variables del sistema PLC que podrían causar que los datos no validados sean inyectados por un usuario malicioso autenticado que conduzca a la modificación o lectura de datos en el navegador de una víctima.
CVE-2025-3905 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5.4; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: C/C: L/I: L/A: N).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3905. Se ha calculado una puntuación base de 5.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: P/VC: N/VI: L/VA: N/SC: L/SI: L: L: N).
3.2.5 Validación de entrada incorrecta CWE-20
Existe una vulnerabilidad de validación de entrada inadecuada que podría causar una condición de denegación de servicio cuando un usuario malicioso autenticado envía una solicitud HTTPS malformada especial que contiene datos corporales de formato incorrecto al controlador.
CVE-2025-3116 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.5; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: N/I: N/A: H).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3116. Se ha calculado una puntuación base de 7.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: N/VC: N/VI: N/VA: H/SC: N/SI: N/SA: N).
3.2.6 Neutralización inadecuada de la entrada durante la generación de páginas web (‘Scripting de sitios cruzados’) CWE-79
Existe una neutralización inadecuada de la entrada durante la vulnerabilidad de la generación de páginas web (‘scripting de sitios cruzados’) que impactan las rutas de los archivos de configuración que podrían causar que los datos no validados sean inyectados por un usuario malicioso autenticado que conduzca a la modificación o lectura de datos en el navegador de una víctima.
CVE-2025-3117 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 5.4; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: R/S: C/C: L/I: L/A: N).
También se ha calculado una puntuación CVSS V4 para CVE-2025-3117. Se ha calculado una puntuación base de 5.1; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: P/VC: N/VI: L/VA: N/SC: L/SI: L: L: N).
3.3 Antecedentes
Sectores de infraestructura crítica: Instalaciones comerciales, fabricación crítica, energía
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Francia
3.4 investigador
Loc Nguyen, Dat Phung, Thai DO, Minh Pham de la Unidad 515, Opswat informó estas vulnerabilidades a Schneider Electric.
4. Mitigaciones
Schneider Electric ha identificado las siguientes soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:
Versión 5.3.12.51 de Modicon Controllers M241 incluye una solución para estas vulnerabilidades, que se puede descargar aquí.
Use la función de asistente de controlador de Ecostruxure Automation Expert – Motion V24.1 para actualizar el firmware M241 y realizar un reinicio.
ECOSTRUXURE Automation Expert – Motion V24.1 está disponible a través del software Schneider Electric Instalador.
Versión 5.3.12.51 de Modicon Controllers M251 incluye una solución para estas vulnerabilidades, que se puede descargar aquí.
Use la función de asistente de controlador de Ecostruxure Automation Expert – Motion V24.1 para actualizar el firmware M251 y realizar un reinicio.
ECOSTRUXURE Automation Expert – Motion V24.1 está disponible a través del software Schneider Electric Instalador.
(CVE-2025-3898, CVE-2025-3117) Las versiones de 5.3.9.18 de los controladores Modicon M262 incluyen una solución para estas vulnerabilidades, que se pueden descargar aquí.
Use la función de asistente de controlador de Ecostruxure Automation Expert – Motion V24.1 para actualizar el firmware M262 y realizar un reinicio.
ECOSTRUXURE Automation Expert – Motion V24.1 está disponible a través del software Schneider Electric Instalador.
Si los usuarios eligen no aplicar la remediación proporcionada anteriormente, deben aplicar inmediatamente las siguientes mitigaciones para reducir el riesgo de exploit:
Use controladores y dispositivos solo en un entorno protegido para minimizar la exposición a la red y asegurarse de que no sean accesibles desde Internet público o redes no confiables.
Asegurar el uso de las funciones de administración de usuarios y contraseña. Los derechos de usuario están habilitados de forma predeterminada y se ven obligados a crear una contraseña segura al primer uso.
Desactivar el servidor web después de usar cuando no sea necesario.
Use enlaces de comunicación cifrados.
Configure la segmentación de red e implementa un firewall para bloquear todo el acceso no autorizado a los puertos 80/http y 443/https.
Use túneles VPN (redes privadas virtuales) si se requiere acceso remoto.
Las «Directrices de ciberseguridad para controladores de máquinas Ecostruxure Expert, Modicon y PacDrive y equipos asociados» proporcionan productos específicos del producto Directrices de endurecimiento.
(CVE-2025-3905, CVE-2025-3116, CVE-2025-3117) Schneider Electric está estableciendo un plan de remediación para todas las versiones futuras de Modicon M258/LMC058 que incluirá una solución para estas vulnerabilidades. Schneider Electric actualizará SEVD-2025-161-02 cuando la remediación esté disponible. Hasta entonces, los usuarios deben aplicar inmediatamente las mitigaciones anteriores para reducir el riesgo de exploit.
Para obtener más información, consulte el Asesoramiento de seguridad Schneider Electric CPCert Association SEVD-2025-161-02 Controladores Modicon M241/M251/M258/LMC058/M262-SEVD-2025-161-02 Versión PDF, Controladores Modicon M241/M251/M258/LMC058/M262-SEVD-2025-161-02 Versión de CSAF.
CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.
5. Historial de actualización
24 de junio de 2025: republicación inicial de Schneider Electric CPCERT SEVD-2025-161-02