CVE-2025-13845

ALT (7,8)

CVSS3: 6,8

Schneider Electric EcoStruxure Power Build Rapsody podria permetre que un atacant remot executi codi arbitrari al sistema, causat per una vulnerabilitat UAF. En persuadir una víctima perquè importi un fitxer de projecte especialment dissenyat (fitxer SSD), un atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• Schneider Electric EcoStruxure Power Build Rapsody FR v2.8.1.0300 and prior
• Schneider Electric EcoStruxure Power Build Rapsody
• Schneider Electric EcoStruxure Power Build Rapsody
• Schneider Electric EcoStruxure Power Build Rapsody

Remediació
Consulteu la notificació de seguretat de Schneider Electric SEVD-2026-013-04 per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2026-013-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2026-013-04.pdf
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/13xxx/CVE-2025-13845.json