Logo

Blog

Accueil Blog
cybersécurité

Multiples vulnérabilités découvertes dans les produits Schneider Electric [12/08/2025]

18/08/2025
Vincent

Le CERT-FR a publié un avis de sécurité le 12/08/2025, concernant de multiples vulnérabilités découvertes dans les produits Schneider Electric. Ces failles critiques permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance sur les systèmes affectés.

Risques identifiés

  • Atteinte à l’intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Falsification de requêtes côté serveur (SSRF)
  • Élévation de privilèges

Systèmes concernés

  • EcoStruxure Building Operation Enterprise Central : versions 5.x < 5.0.3.17009 (CP16), 6.x < 6.0.4.10001 (CP8), 7.x < 7.0.2.348
  • EcoStruxure Building Operation Enterprise Server : versions 5.x < 5.0.3.17009 (CP16), 7.x < 7.0.2.348
  • EcoStruxure Building Operation Workstation : versions 5.x < 5.0.3.17009 (CP16), 6.x < 6.0.4.10001 (CP8), 7.x < 7.0.2.348
  • EcoStruxure Power Monitoring Expert (PME) : versions < 2024 avec derniers correctifs de sécurité
  • M580 Global Data module : toutes versions (CVE-2025-6625)
  • Modbus/TCP Ethernet Modicon M340 FactoryCast module : versions < 6.80
  • Modbus/TCP Ethernet Modicon M340 module : versions < 3.60
  • Modicon M340 : toutes versions (CVE-2025-6625)
  • Modicon M340 X80 Ethernet Communication modules : toutes versions (CVE-2025-6625)
  • Schneider Electric Software Update (SESU) : versions < 3.0.12

Vulnérabilités CVE

Neuf vulnérabilités CVE ont été identifiées dans cette série d’avis :

CVE-2025-5296, CVE-2025-54923, CVE-2025-54924, CVE-2025-54925, CVE-2025-54926, CVE-2025-54927, CVE-2025-6625, CVE-2025-8448, CVE-2025-8449

Solutions

  • Appliquer les correctifs : Se référer aux bulletins de sécurité Schneider Electric SEVD-2025-224-02, SEVD-2025-224-03, SEVD-2025-224-04 et SEVD-2025-224-05 pour obtenir les mises à jour de sécurité appropriées
  • Mettre à jour immédiatement : Prioriser la mise à jour des systèmes critiques exposés, particulièrement ceux accessible depuis internet
  • Mesures de mitigation : En attendant l’application des correctifs, implémenter des mesures de protection réseau et restreindre l’accès aux systèmes vulnérables

 

Source : CERT-FR, Avis CERTFR-2025-AVI-0676

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0676/

Multiples vulnérabilités découvertes dans les produits Schneider Electric [12/08/2025]