Multiples vulnérabilités dans les produits Schneider Electric

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Déni de service à distance
Exécution de code arbitraire
Non spécifié par l'éditeur
Élévation de privilèges

Systèmes affectés

BMENOR2200H toutes versions pour la vulnérabilité CVE-2024-11425
BMXNOE0100 toutes versions pour la vulnérabilité CVE-2024-12142
BMXNOE0110 toutes versions pour la vulnérabilité CVE-2024-12142
BMXNOR0200H versions antérieures à 1.70IR26
EcoStruxure Architecture Builder versions antérieures à 7.0.18
EcoStruxure Machine Expert including EcoStruxureTM Machine Expert Safety toutes versions pour la vulnérabilité CVE-2024-2658
EcoStruxure Machine Expert Twin toutes versions pour la vulnérabilité CVE-2024-2658
EcoStruxure OPC UA Server Expert toutes versions pour la vulnérabilité CVE-2024-2658
EcoStruxure Operator Terminal Expert toutes versions pour la vulnérabilité CVE-2024-2658
EcoStruxureTM Control Expert Asset Link versions antérieures à 4.0 SP1 pour la vulnérabilité CVE-2024-2658
EcoStruxureTM Control Expert versions antérieures à 16.1
EcoStruxureTM Machine SCADA Expert Asset Link toutes versions pour la vulnérabilité CVE-2024-2658
EcoStruxureTM Process Expert toutes versions pour la vulnérabilité CVE-2024-2658
EVLink Pro AC versions antérieures à 1.3.10
Modicon M340 processors (part numbers BMXP34*) toutes versions pour la vulnérabilité CVE-2024-12142
Modicon M580 communication modules BMECRA BMECRA31210 toutes versions pour la vulnérabilité CVE-2021-29999
Modicon M580 communication modules BMENOC BMENOC0321 versions antérieures à 1.10
Modicon M580 CPU (part numbers BMEP* et BMEH*, excluding M580 CPU Safety) versions antérieures à 4.30 pour la vulnérabilité CVE-2024-11425
Modicon M580 CPU Safety (part numbers BMEP58*S et BMEH58*S) versions antérieures à 4.21 pour la vulnérabilité CVE-2024-11425
Modicon M580/Quantum communication modules BMXCRA BMXCRA31200 toutes versions pour la vulnérabilité CVE-2021-29999
Modicon M580/Quantum communication modules BMXCRA BMXCRA31210 toutes versions pour la vulnérabilité CVE-2021-29999
Modicon Quantum communication modules 140CRA 140CRA31200 toutes versions pour la vulnérabilité CVE-2021-29999
Modicon Quantum communication modules 140CRA 140CRA31908 toutes versions pour la vulnérabilité CVE-2021-29999
Pro-face GP-Pro EX toutes versions pour la vulnérabilité CVE-2024-12399
Pro-face Remote HMI toutes versions pour la vulnérabilité CVE-2024-12399
Vijeo Designer toutes versions pour la vulnérabilité CVE-2024-2658
Zelio Soft 2 toutes versions pour la vulnérabilité CVE-2024-2658

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Schneider Electric. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et un déni de service à distance.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Schneider Electric SEVD-2025-014-01 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-01.pdf

Bulletin de sécurité Schneider Electric SEVD-2025-014-02 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-02.pdf

Bulletin de sécurité Schneider Electric SEVD-2025-014-03 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-03.pdf

Bulletin de sécurité Schneider Electric SEVD-2025-014-05 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-05.pdf

Bulletin de sécurité Schneider Electric SEVD-2025-014-07 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-07&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-07.pdf

Bulletin de sécurité Schneider Electric SEVD-2025-014-09 du 14 janvier 2025

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-09&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-09.pdf

Référence CVE CVE-2021-29999

https://www.cve.org/CVERecord?id=CVE-2021-29999

Référence CVE CVE-2024-11139

https://www.cve.org/CVERecord?id=CVE-2024-11139

Référence CVE CVE-2024-11425

https://www.cve.org/CVERecord?id=CVE-2024-11425

Référence CVE CVE-2024-12142

https://www.cve.org/CVERecord?id=CVE-2024-12142

Référence CVE CVE-2024-12399

https://www.cve.org/CVERecord?id=CVE-2024-12399

Référence CVE CVE-2024-2658

https://www.cve.org/CVERecord?id=CVE-2024-2658

Référence	CERTFR-2025-AVI-0034
Titre	Multiples vulnérabilités dans les produits Schneider Electric
Date de la première version	15 janvier 2025
Date de la dernière version	15 janvier 2025
Source(s)	Bulletin de sécurité Schneider Electric SEVD-2025-014-01 du 14 janvier 2025 Bulletin de sécurité Schneider Electric SEVD-2025-014-02 du 14 janvier 2025 Bulletin de sécurité Schneider Electric SEVD-2025-014-03 du 14 janvier 2025 Bulletin de sécurité Schneider Electric SEVD-2025-014-05 du 14 janvier 2025 Bulletin de sécurité Schneider Electric SEVD-2025-014-07 du 14 janvier 2025 Bulletin de sécurité Schneider Electric SEVD-2025-014-09 du 14 janvier 2025
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Schneider Electric

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document