Schneider Electric DCE mit kritischer Schwachstelle

Die kritischste Schwachstelle besitzt die Kennung CVE-2025-50121 bzw. EUVD-2025-21128 und hat einen CVSS-Base-Score von 9.5/10. Wenn die Web-Schnittstelle aktiviert ist, was standardmäßig nicht der Fall ist, können Angreifende einen Ordner erstellen. Dies erlaubt ihnen eine OS Command Injection, die wiederum einen RCE-Angriff (Remote Code Execution) ermöglicht. Dies ist eine Gefahr für die Systemintegrität.

Weitere Schwachstellen in DCE mit CVSS-Base-Score (gem. CVSS v4.0):

• CVE-2025-50122/EUVD-2025-21127 (8.9/10)
• CVE-2025-6438/EUVD-2025-21129 (5.9/10)
• CVE-2025-50123/EUVD-2025-21130 (7.2/10)
• CVE-2025-50124/EUVD-2025-21132 (7.2/10)
• CVE-2025-50125/EUVD-2025-21133 (6.3/10)

Betroffen von allen genannten Sicherheitslücken ist DCE bis einschließlich Version 8.3.

DCE dient der Überwachung von Geräten z. B. in Rechenzentren. Schneider Electric ist ein französischer Elektrotechnik-Konzern mit Hauptsitz in Rueil-Malmaison in der Nähe von Paris. Das Unternehmen hat weltweit Niederlassungen.

Schneider Electric empfiehlt folgende Maßnahmen:

• Installieren Sie Version 9. Diese Version behebt alle genannten Sicherheitslücken.
• Wenn Sie nicht auf diese Version aktualisieren, führen Sie Sicherheitsmaßnahmen gemäß dem EcoStruxure IT Data Center Expert Security Handbook durch.