Vulnerabilità in prodotti Schneider Electric (AL02/250812/CSIRT-ITA)

Data:
12 Agosto 2025 10:21

Impatto Sistemico

Alto (65.12)

Sintesi

Rilevate nuove vulnerabilità in alcuni prodotti di Schneider Electric, di cui sei con gravità “alta”.

Tipologia

Remote Code Execution
Information Disclosure
Denial of Service

Prodotti e/o versioni affette

Schneider Electric

EcoStruxure™ Power Monitoring Expert (PME) (Versione 2022, Versione 2023, Versione 2024, Versione 2024 R2)
EcoStruxure™ Power Operation (EPO) Advanced Reporting and Dashboards Module (Versione 2022 w/ Advanced Reporting Module, Versione 2024 w/ Advanced Reporting Module)
SESU, versioni precedenti alla v3.0.12
Modicon M340, tutte le versioni
BMXNOR0200H: Ethernet / Serial RTU Module, tutte le versioni
BMXNGD0100: M580 Global Data module, tutte le versioni
BMXNOC0401: Modicon M340 X80 Ethernet Communication modules, tutte le versioni
BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module, versioni precedenti alla 3.50
BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module, versioni precedenti alla 6.70

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

Riferimenti

https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

CVE

CVE-ID
CVE-2025-5296	CVE-2025-54923	CVE-2025-54924	CVE-2025-54925
CVE-2025-54926	CVE-2025-6625

Change log

Versione	Note	Data
1.0	Pubblicato il 12-08-2025	12/08/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

CSIRT Toscana

CSIRT Toscana