The article describes multiple vulnerabilities affecting Siemens industrial control products, including remote code execution, denial of service, and data integrity compromise. The primary affected systems are specific versions of SIMATIC Drive Controllers, ET 200SP CPUs, and the SICAM SIAPP SDK, with many listed as "all versions" for CVE-2025-40943. The advisory references Siemens security bulletins SSA-452276, SSA-903736, and ssb-751527 for detailed patching guidance, noting that fixes are available for some products, such as version 4.1.2 for certain ET 200SP CPUs and version 2.1.7 for the SICAM SIAPP SDK.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 10 mars 2026 N° CERTFR-2026-AVI-0255 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Siemens Gestion du document Référence CERTFR-2026-AVI-0255 Titre Multiples vulnérabilités dans les produits Siemens Date de la première version 10 mars 2026 Date de la dernière version 10 mars 2026 Source(s) Bulletin de sécurité Siemens SSA-452276 du 10 mars 2026 Bulletin de sécurité Siemens SSA-903736 du 10 mars 2026 Bulletin de sécurité Siemens ssb-751527 du 10 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Déni de service Exécution de code arbitraire à distance Injection de code indirecte à distance (XSS) Non spécifié par l'éditeur Systèmes affectés SICAM SIAPP SDK versions antérieures à 2.1.7 SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP CPU 1510SP F-1 PN (6ES7510-1SJ01-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP CPU 1510SP F-1 PN (6ES7510-1SK03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1510SP-1 PN (6ES7510-1DJ01-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP CPU 1510SP-1 PN (6ES7510-1DK03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1512SP F-1 PN (6ES7512-1SK01-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP CPU 1512SP F-1 PN (6ES7512-1SM03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1512SP-1 PN (6ES7512-1DK01-0AB0) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP CPU 1512SP-1 PN (6ES7512-1DM03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1514SP F-2 PN (6ES7514-2SN03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1514SP-2 PN (6ES7514-2DN03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1514SPT F-2 PN (6ES7514-2WN03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP CPU 1514SPT-2 PN (6ES7514-2VN03-0AB0) versions antérieures à 4.1.2 SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants) toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) V2 CPUs - Windows OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) V3 CPUs - Industrial OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) V3 CPUs - Windows OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC3 (incl. SIPLUS variants) V2 CPUs - Windows OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC3 (incl. SIPLUS variants) V3 CPUs - Industrial OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC ET 200SP Open Controller CPU 1515SP PC3 (incl. SIPLUS variants) V3 CPUs - Windows OS toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC S7-1500 toutes versions pour la vulnérabilité CVE-2025-40943 SIMATIC S7-1500 versions antérieures à 4.1.2 Résumé De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS). Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Siemens SSA-452276 du 10 mars 2026 https://cert-portal.siemens.com/productcert/html/ssa-452276.html Bulletin de sécurité Siemens SSA-903736 du 10 mars 2026 https://cert-portal.siemens.com/productcert/html/ssa-903736.html Bulletin de sécurité Siemens ssb-751527 du 10 mars 2026 https://cert-portal.siemens.com/productcert/html/ssb-751527.html Référence CVE CVE-2025-40943 https://www.cve.org/CVERecord?id=CVE-2025-40943 Référence CVE CVE-2026-25569 https://www.cve.org/CVERecord?id=CVE-2026-25569 Référence CVE CVE-2026-25570 https://www.cve.org/CVERecord?id=CVE-2026-25570 Référence CVE CVE-2026-25571 https://www.cve.org/CVERecord?id=CVE-2026-25571 Référence CVE CVE-2026-25572 https://www.cve.org/CVERecord?id=CVE-2026-25572 Référence CVE CVE-2026-25573 https://www.cve.org/CVERecord?id=CVE-2026-25573 Référence CVE CVE-2026-25605 https://www.cve.org/CVERecord?id=CVE-2026-25605 Gestion détaillée du document le 10 mars 2026 Version initiale