S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 12 août 2025
N° CERTFR-2025-AVI-0677
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

Référence CERTFR-2025-AVI-0677
Titre Multiples vulnérabilités dans les produits Siemens
Date de la première version12 août 2025
Date de la dernière version12 août 2025
Source(s) Bulletin de sécurité Siemens ssa-400089 du 11 août 2025
Bulletin de sécurité Siemens SSA-282044 du 12 août 2025
Bulletin de sécurité Siemens SSA-331739 du 12 août 2025
Bulletin de sécurité Siemens SSA-355557 du 12 août 2025
Bulletin de sécurité Siemens SSA-493396 du 12 août 2025
Bulletin de sécurité Siemens SSA-493787 du 12 août 2025
Bulletin de sécurité Siemens SSA-529291 du 12 août 2025
Bulletin de sécurité Siemens SSA-613116 du 12 août 2025
Bulletin de sécurité Siemens SSA-693808 du 12 août 2025
Bulletin de sécurité Siemens SSA-707630 du 12 août 2025
Bulletin de sécurité Siemens SSA-894058 du 12 août 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Non spécifié par l'éditeur
  • Élévation de privilèges

Systèmes affectés

  • SCALANCE XC-300/XR-300/XC-400/XR-500WG/XR-500 versions antérieures à 3.2
  • SCALANCE XCM-/XRM-/XCH-/XRH-300 family versions antérieures à 3.2
  • SIMATIC Automation Tool SDK Windows toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Automation Tool toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC BATCH V10.0 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC BATCH V9.1 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC Control Function Library (CFL) toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC D7-SYS toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC eaSie Core Package (6DL5424-0AX00-0AV8) toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC eaSie PCS 7 Skill Package (6DL5424-0BX00-0AV8) toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC eaSie Workflow Skills toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Energy Suite toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Information Server toutes versions pour la vulnérabilité CVE-2025-47809
  • SIMATIC Logon V1.6 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC Logon V2.0 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Management Agent toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Management Console toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC MTP CREATOR V2.x et V3.x toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC MTP Integrator toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC NET PC Software toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC ODK 1500S toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC PCS 7 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC PCS 7 Advanced Process Faceplates V9.1 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC PCS 7 Logic Matrix V9.1 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC PCS neo V4.1 et V5.0 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-54678.
  • SIMATIC PCS neo V5.0 toutes versions pour la vulnérabilité CVE-2024-54678
  • SIMATIC PCS neo V6.0 toutes versions pour la vulnérabilité CVE-2024-54678
  • SIMATIC PCS neo V6.0 versions antérieures à V6.0 SP1
  • SIMATIC PDM Maintenance Station V5.0 toutes versions pour les vulnérabilités CVE-2025-30033 et CVE-2025-47809
  • SIMATIC PDM V9.2 et V9.3 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Process Function Library (PFL) V4.0 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC Process Historian 2020 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour les vulnérabilités CVE-2025-30033 et CVE-2025-47809
  • SIMATIC Process Historian 2022 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Process Historian 2022 toutes versions pour la vulnérabilité CVE-2025-47809
  • SIMATIC Process Historian 2024 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC ProSave V17 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC ProSave V18 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC ProSave V19 versions antérieures à V19 Update 4
  • SIMATIC ProSave V20 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Route Control V10.0 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Route Control V9.1 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC RTLS Locating Manager versions antérieures à 3.2
  • SIMATIC RTLS Locating Manager versions antérieures à 3.3
  • SIMATIC S7 F Systems V6.3 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC S7 F Systems V6.4 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC S7-1500 Software Controller V2 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC S7-1500 Software Controller V3 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC S7-Fail-safe Configuration Tool (S7-FCT) versions antérieures à 4.0.1
  • SIMATIC S7-PCT toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC S7-PLCSIM Advanced versions antérieures à V7.0 Update 1
  • SIMATIC S7-PLCSIM V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2024-54678.
  • SIMATIC S7-PLCSIM V17 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-40759.
  • SIMATIC S7-PLCSIM V17, V18 et V19 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC S7-PLCSIM V20 versions antérieures à V20 Update 1
  • SIMATIC Safety Matrix toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC STEP 7 CFC V19 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC STEP 7 CFC V20 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-30033.
  • SIMATIC STEP 7 V17 et V18 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • SIMATIC STEP 7 V19 versions antérieures à V19 Update 4
  • SIMATIC STEP 7 V20 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • SIMATIC STEP 7 V5.7 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC Target toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC flexible ES toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC OA V3.18 versions antérieures à V3.18 P032
  • SIMATIC WinCC OA V3.19 versions antérieures à V3.19 P020
  • SIMATIC WinCC OA V3.20 versions antérieures à V3.20 P008
  • SIMATIC WinCC Runtime Advanced toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC Runtime Professional toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC TeleControl toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC Unified Line Coordination toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC Unified PC Runtime V18, V19 et V20 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC Unified Sequence toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC V17, v18 et V20 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • SIMATIC WinCC V19 versions antérieures à V19 Update 4
  • SIMATIC WinCC V7.5 et V8.0 toutes versions pour la vulnérabilité CVE-2025-30033
  • SIMATIC WinCC V8.1 versions antérieures à V8.1 Update 3
  • SIMATIC WinCC Visualization Architect (SiVArc) toutes versions pour la vulnérabilité CVE-2025-30033
  • Siprotec 4 7SA6, 7SD5 et 7SD610 versions antérieures à 4.78
  • Siprotec 4 toutes versions et tous modèles exceptés 7SA6, 7SD5, 7SD610 pour la vulnérabilité CVE-2024-52504.
  • SIPROTEC 5 versions antérieures à 10.0
  • TIA Portal Cloud Connector toutes versions pour la vulnérabilité CVE-2025-30033
  • TIA Portal Cloud V17 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • TIA Portal Cloud V18 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • TIA Portal Cloud V19 versions antérieures à 5.2.1.1
  • TIA Portal Cloud V20 toutes versions pour les vulnérabilités CVE-2024-54678 et CVE-2025-40759
  • TIA Portal Test Suite V17, v18, v19 et v20 toutes versions pour la vulnérabilité CVE-2025-30033
  • WinCC Panel Image Setup toutes versions pour la vulnérabilité CVE-2025-30033

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 12 août 2025
    Version initiale