Múltiples vulnerabilidades en productos de Siemens

Argitalpen-data: 

Resumen ejecutivo

Siemens ha informado de 2 vulnerabilidades de severidad alta en varios de sus productos que, en caso de ser explotadas, podrían permitir a un atacante incrementar sus privilegios y robar una cuenta con configuraciones específicas de SSO.

Recursos afectados

  • Desigo CC family
  • SENTRON Powermanager;
  • Mendix SAML;
    • Mendix 9.24 compatible, versiones anteriores a la 3.6.21;
    • Mendix 10.12 compatible, versiones anteriores a la 4.0.3;
    • Mendix 10.21 compatible, versiones anteriores a la 4.1.2;

Análisis técnico

Las vulnerabilidades son:

  • CVE-2025-47809: Wibu CodeMeter anterior a la versión 8.30a, en ocasiones, permite la escalada de privilegios inmediatamente después de ser instalado (antes de cerrar sesión o reiniciar). Para poder explotarlo debe: (1) haberse realizado una instalación sin privilegios con UAC y (2) estar instalado el componente CodeMeter Control Center sin haberse reiniciado. En este escenario, un usuario local puede navegar desde Importar licencia a una instancia con privilegios del Explorador de Windows.
  • CVE-2025-40758: Las versiones afectadas del módulo no realizan una comprobación de firmas y enlaces suficiente. Esto podría permitir a atacantes remotos no autenticados secuestrar una cuenta con configuraciones SSO específicas.
Identificador CVE Severidad Explotación Fabricante
CVE-2025-47809 Alta No SIEMENS
CVE-2025-40758 Alta No SIEMENS

Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.

Mitigación / Solución

Para los productos Desigo CC family y SENTRON Powermanager, actualizar el WIBU CodeMeter de la siguiente forma:

Para el producto Mendix SAML, actualizar a la última versión.

      Referencias adicionales

      Partekatu