CERTFR-2025-AVI-0485_Multiples vulnérabilités dans les produits Schneider Electric
AVIS CERT
CERT-FR
Publié le 10 juin 2025 à 16h01 - Mis à jour le 10 juin 2025 à 16h03
Objet
Multiples vulnérabilités dans les produits Schneider Electric
Référence
CERTFR-2025-AVI-0485
Risques
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Modicon Controllers LMC058 toutes versions pour les vulnérabilités CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M241 versions antérieures à 5.3.12.51 pour les vulnérabilités CVE-2025-3898, CVE-2025-3899, CVE-2025-3112, CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M251 versions antérieures à 5.3.12.51 pour les vulnérabilités CVE-2025-3898, CVE-2025-3899, CVE-2025-3112, CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M258 toutes versions pour les vulnérabilités CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M262 versions antérieures à 5.3.9.18 pour les vulnérabilités CVE-2025-3898 et CVE-2025-3117.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2025-161-02 du 10 juin 2025
- CVE-2025-3112
- CVE-2025-3116
- CVE-2025-3117
- CVE-2025-3898
- CVE-2025-3899
- CVE-2025-3905