Risques
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Modicon Controllers LMC058 toutes versions pour les vulnérabilités CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M241 versions antérieures à 5.3.12.51 pour les vulnérabilités CVE-2025-3898, CVE-2025-3899, CVE-2025-3112, CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M251 versions antérieures à 5.3.12.51 pour les vulnérabilités CVE-2025-3898, CVE-2025-3899, CVE-2025-3112, CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M258 toutes versions pour les vulnérabilités CVE-2025-3905, CVE-2025-3116 et CVE-2025-3117.
- Modicon Controllers M262 versions antérieures à 5.3.9.18 pour les vulnérabilités CVE-2025-3898 et CVE-2025-3117.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Elles permettent à un attaquant de provoquer un déni de service à distance et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Schneider Electric SEVD-2025-161-02 du 10 juin 2025 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-161-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-161-02.pdf
- Référence CVE CVE-2025-3112 https://www.cve.org/CVERecord?id=CVE-2025-3112
- Référence CVE CVE-2025-3116 https://www.cve.org/CVERecord?id=CVE-2025-3116
- Référence CVE CVE-2025-3117 https://www.cve.org/CVERecord?id=CVE-2025-3117
- Référence CVE CVE-2025-3898 https://www.cve.org/CVERecord?id=CVE-2025-3898
- Référence CVE CVE-2025-3899 https://www.cve.org/CVERecord?id=CVE-2025-3899
- Référence CVE CVE-2025-3905 https://www.cve.org/CVERecord?id=CVE-2025-3905
