Threats
A vulnerabilidade mais grave, com pontuação máxima, permite a execução remota de código e pode dar a atacantes controlo total sobre sistemas que monitorizam infraestruturas críticas
14/07/2025
|
A Schneider Electric revelou a existência de seis vulnerabilidades críticas que afetam o seu software EcoStruxure IT Data Center Expert, uma plataforma de monitorização amplamente utilizada em infraestruturas críticas de data centers em todo o mundo. As falhas, presentes nas versões 8.3 e anteriores, colocam em risco a integridade e segurança das operações, podendo ser exploradas por cibercriminosos para obter acesso não autorizado e executar código remotamente. A vulnerabilidade mais grave foi catalogada como CVE-2025-50121 e recebeu a pontuação máxima de 10 na escala CVSS, indicando risco extremo. Esta falha permite a execução remota de código não autenticado através da injeção de comandos no sistema operativo, sendo explorável quando pastas especialmente manipuladas são criadas via interface web, desde que o protocolo HTTP esteja ativado — mesmo que venha desativado por defeito no sistema. Entre as restantes vulnerabilidades identificadas, destacam-se a CVE-2025-50122, entropia insuficiente na criação de palavras-passe, facilitando o comprometimento por força bruta; a CVE-2025-50123 – injeção de código através da manipulação de nomes de host, podendo comprometer o comportamento do sistema; a CVE-2025-50125 – vulnerabilidade a ataques de falsificação de pedidos do lado do servidor (SSRF), permitindo acesso indevido a recursos internos da rede. Estas descobertas resultaram de um inquérito de segurança extensivo conduzido por investigadores da empresa de cibersegurança KoreLogic, em colaboração com a própria Schneider Electric. Em resposta, a empresa publicou documentação técnica detalhada explicando os vetores de ataque, os impactos esperados e as medidas corretivas recomendadas. A plataforma EcoStruxure IT Data Center Expert é utilizada como solução de monitorização escalável para ambientes industriais e de missão crítica, tornando estas vulnerabilidades particularmente preocupantes para setores como energia, telecomunicações, saúde e transportes. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
