Plataforma
cpp
Componente
opc-ua-c-sdk
Corregido en
6.80.1
6.80.2
1.0.1
El CVE-2025-7390 es una vulnerabilidad crítica que afecta al OPC UA C++ SDK, específicamente a las versiones 6.40 y SDEX Suite V1.0. Esta falla permite a un cliente malicioso eludir la verificación de confianza del certificado de cliente en un servidor opc.https configurado para comunicación segura. La explotación exitosa de esta vulnerabilidad puede resultar en acceso no autorizado a datos sensibles y sistemas críticos.
Un atacante puede aprovechar esta vulnerabilidad para acceder a información confidencial protegida por el servidor OPC UA. Al eludir la verificación del certificado, el atacante puede hacerse pasar por un cliente autorizado, obteniendo acceso a datos de control industrial, configuraciones del sistema y potencialmente, controlando procesos industriales. La falta de validación adecuada del certificado de cliente abre una brecha significativa en la seguridad de la comunicación, permitiendo la manipulación de datos y la ejecución de comandos no autorizados. Esta vulnerabilidad es particularmente preocupante en entornos de automatización industrial donde la integridad de los datos y la seguridad de los procesos son fundamentales.
El CVE-2025-7390 ha sido publicado el 2025-08-21. La severidad es CRÍTICA (CVSS 9.1). No se ha confirmado explotación activa en la naturaleza, pero la facilidad de explotación y el impacto potencial lo convierten en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones lo antes posible. No se ha añadido a KEV al momento de la redacción.
Organizations heavily reliant on industrial control systems (ICS) and operational technology (OT) using the OPC UA C++ SDK are at significant risk. This includes manufacturing plants, power grids, and other critical infrastructure sectors. Specifically, deployments using older versions of the SDK (6.40–SDEX Suite V1.0) and those with less stringent network security controls are particularly vulnerable.
• cpp / OPC UA: Use a network analyzer (Wireshark) to monitor OPC UA traffic and look for connections without valid client certificates. • cpp / OPC UA: Examine server logs for authentication failures related to certificate validation. • generic web: Monitor for unusual network traffic patterns originating from unauthorized clients attempting to connect to the OPC UA server. • generic web: Review firewall logs for attempts to bypass certificate validation.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-7390 es actualizar el OPC UA C++ SDK a una versión corregida que implemente la validación adecuada del certificado de cliente. Si la actualización inmediata no es posible, se recomienda implementar reglas de firewall o Web Application Firewall (WAF) que bloqueen el tráfico no autorizado y restrinjan el acceso al servidor opc.https. Además, revise la configuración del servidor OPC UA para asegurar que solo se permitan conexiones de clientes certificados y que la política de confianza de certificados esté correctamente configurada. Después de la actualización, confirme la mitigación verificando que la validación del certificado de cliente se esté aplicando correctamente mediante pruebas de penetración o escaneo de vulnerabilidades.
Actualice el SDK de OPC UA C++ a una versión corregida que implemente correctamente la validación del certificado del cliente. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-7390 is a critical vulnerability in the OPC UA C++ SDK allowing malicious clients to bypass certificate trust checks, potentially granting unauthorized access to industrial control systems.
If you are using OPC UA C++ SDK version 6.40–SDEX Suite V1.0, you are potentially affected by this vulnerability. Check your system configuration and upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of the OPC UA C++ SDK. Until then, implement compensating controls like restricting network access and monitoring server logs.
While no active exploitation has been confirmed, the critical severity and potential impact suggest a high likelihood of exploitation once a proof-of-concept is developed.
Refer to the vendor's official security advisory page for the OPC UA C++ SDK for the latest information and updates regarding CVE-2025-7390.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.