Changeflow GovPing Data Privacy & Cybersecurity Multiple Vulnerabilities in Siemens Products Al...
Priority review Notice Added Final

Multiple Vulnerabilities in Siemens Products Allow Remote Code Execution

Favicon for www.cert.ssi.gouv.fr CERT-FR Security Advisories
Published
Detected
Email

Summary

CERT-FR issued security advisory CERTFR-2026-AVI-0432 detailing multiple vulnerabilities in Siemens industrial automation products including SCALANCE W-700, SIMATIC CN/Field/IPC series, and related industrial computing devices. The vulnerabilities enable remote code execution, privilege escalation, denial of service, cross-site scripting, and data confidentiality breaches. Affected parties should immediately consult Siemens security bulletins SSA-019200 and SSA-628843 for available patches and apply mitigations.

Published by CERT-FR on cert.ssi.gouv.fr . Detected, standardized, and enriched by GovPing. Review our methodology and editorial standards .
View original document View source feed page

What changed

CERT-FR published security advisory CERTFR-2026-AVI-0432 detailing multiple vulnerabilities affecting over 20 Siemens industrial automation products. The vulnerabilities include remote code execution (CVE-2025-2884), denial of service, cross-site scripting, data integrity and confidentiality breaches, security policy bypass, and privilege escalation. Several products (SIMATIC CN 4100, IPC227E, IPC277E, IPC627E, IPC647E, IPC677E, IPC847E, ITP1000) will not receive security patches for CVE-2025-2884 and require alternative protective measures.

Organizations using affected Siemens industrial automation products should immediately review the Siemens security bulletins for patch availability, apply available updates, and implement compensating security controls where patches are not forthcoming. The advisory affects industrial manufacturers and operators using SIMATIC programmable logic controllers, industrial PCs, and SCALANCE networking equipment in operational technology environments.

What to do next

  1. Apply available patches from Siemens security bulletins SSA-019200 and SSA-628843
  2. Review affected Siemens products (SIMATIC IPC, SCALANCE W-700 series) for presence of vulnerabilities
  3. Implement compensating controls for products that will not receive security patches

Archived snapshot

Apr 14, 2026

GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.

Premier Ministre S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 avril 2026 N° CERTFR-2026-AVI-0432 Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Siemens

Gestion du document

| Référence | CERTFR-2026-AVI-0432 |
| Titre | Multiples vulnérabilités dans les produits Siemens |
| Date de la première version | 14 avril 2026 |
| Date de la dernière version | 14 avril 2026 |
| Source(s) | Bulletin de sécurité Siemens SSA-019200 du 14 avril 2026
Bulletin de sécurité Siemens SSA-628843 du 14 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Élévation de privilèges

Systèmes affectés

  • SCALANCE W-700 IEEE 802.11n versions antérieures à 6.6.0
  • SIMATIC CN 4100 toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
  • SIMATIC Field PG M5 toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC Field PG M6 toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC IPC BX-32A versions antérieures à 29.01.09
  • SIMATIC IPC BX-39A versions antérieures à 29.01.09
  • SIMATIC IPC BX-56A versions antérieures à 32.01.09
  • SIMATIC IPC BX-59A versions antérieures à 32.01.09
  • SIMATIC IPC MD-57A versions antérieures à 30.01.10
  • SIMATIC IPC PX-32A versions antérieures à 29.01.09
  • SIMATIC IPC PX-39A PRO versions antérieures à 29.01.09
  • SIMATIC IPC PX-39A versions antérieures à 29.01.09
  • SIMATIC IPC RW-528A versions antérieures à 34.01.02
  • SIMATIC IPC RW-548A versions antérieures à 34.01.02
  • SIMATIC IPC227E toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
  • SIMATIC IPC277E toutes versions. L'éditeur indique que le produit ne bénéficiera pas de correctif de sécurité pour la vulnérabilité CVE-2025-2884.
  • SIMATIC IPC427E versions antérieures à 21.01.20
  • SIMATIC IPC477E PRO versions antérieures à 21.01.20
  • SIMATIC IPC477E versions antérieures à 21.01.20
  • SIMATIC IPC627E toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC IPC647E toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC IPC677E toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC IPC847E toutes versions pour la vulnérabilité CVE-2025-2884
  • SIMATIC ITP1000 toutes versions pour la vulnérabilité CVE-2025-2884

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

  1. le 14 avril 2026 Version initiale

Related changes

Favicon for www.cert.ssi.gouv.fr Multiple Vulnerabilities in SAP Products Allow Remote Code Execution
Priority review Apr 14, 2026 CERT-FR Security Advisories Data Privacy & Cybersecurity
Favicon for www.cert.ssi.gouv.fr Multiple Microsoft Office Vulnerabilities Allow Remote Code Execution, Data Breach
Priority review Apr 15, 2026 CERT-FR Security Advisories Data Privacy & Cybersecurity
Favicon for www.cert.ssi.gouv.fr Multiple Fortinet Vulnerabilities Allow Code Execution
Priority review Apr 15, 2026 CERT-FR Security Advisories Data Privacy & Cybersecurity

Get daily alerts for CERT-FR Security Advisories

Daily digest delivered to your inbox.

Free. Unsubscribe anytime.

Source

Favicon for www.cert.ssi.gouv.fr
CERT-FR Security Advisories cert.ssi.gouv.fr/avis
Data Privacy & Cybersecurity

About this page

What is GovPing?

Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission

What's from the agency?

Source document text, dates, docket IDs, and authority are extracted directly from CERT-FR.

What's AI-generated?

The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.

Last updated

Press inquiries →

Classification

Agency
CERT-FR
Published
April 14th, 2026
Instrument
Notice
Legal weight
Non-binding
Stage
Final
Change scope
Substantive
Document ID
CERTFR-2026-AVI-0432

Who this affects

Applies to
Manufacturers Government agencies Industrial firms
Industry sector
3341 Computer & Electronics Manufacturing
Activity scope
Vulnerability disclosure Patch management Industrial control systems security
Geographic scope
France FR

Taxonomy

Primary area
Cybersecurity
Operational domain
IT Security
Compliance frameworks
NIST CSF
Topics
Defense & National Security Product Safety

Browse Categories

Agriculture & Food Safety 65 AI Regulation 3 Banking & Finance 332 Consumer Protection 61 Courts & Legal 361 Data Privacy & Cybersecurity 77 Defense & National Security 51 Education 43 Energy 100 Environment 86 Environmental & Energy 37 Environmental Regulation 7 Financial Regulation 2 Government & Legislation 278 Government Operations 107 Healthcare 142 Healthcare & Life Sciences 72 Housing 16 Immigration 8 Immigration & Border Control 2 Insurance 66 Labor & Employment 124 Legal & Judicial 30 Pharma & Drug Safety 101 Pharma & Healthcare 1 Public Health 2 Real Estate & Housing 58 Sanctions & Export Controls 1 Securities & Investments 28 Securities & Markets 103 Securities Regulation 6 Tax 64 Tax & Revenue 9 Telecom & Technology 47 Trade & Commerce 3 Trade & Sanctions 135 Transportation 85

Get alerts for this source

We'll email you when CERT-FR Security Advisories publishes new changes.

Free. Unsubscribe anytime.

You're subscribed!