A Eaton publicou um aviso de segurança (ETN-VA-2025-1026) sobre múltiplas vulnerabilidades no software UPS Companion (EUC). A empresa disponibilizou a versão 3.0 para mitigar as falhas e recomenda atualização imediata.
Resumo técnico das falhas
O boletim lista duas vulnerabilidades principais que afetam todas as versões anteriores à 3.0 do Eaton UPS Companion:
- CVE-2025-59887 — Insecure Library Loading (CVSS 8.6, classificada como High): um instalador pode carregar bibliotecas a partir de caminhos inseguros, permitindo execução de código arbitrário caso um atacante consiga manipular o pacote de instalação ou o ambiente de instalação;
- CVE-2025-59888 — Unquoted Search Path (CVSS 6.7, Medium): problema de paths sem aspas que pode permitir execução de binários maliciosos locais quando o sistema contém executáveis com nomes e caminhos específicos.
Impacto e alcance
Segundo a matéria, as falhas podem levar à execução remota ou local de código, dependendo do vetor. A Eaton classificou o risco geral como High e orienta clientes a migrar para a versão 3.0 do UPS Companion. O boletim está identificado como ETN-VA-2025-1026 e a atualização foi publicada nos canais oficiais da empresa.
Mitigações recomendadas pela Eaton
Para ambientes que ainda não puderem aplicar a versão 3.0 imediatamente, a Eaton recomenda medidas compensatórias listadas no comunicado oficial:
- Restringir acesso local e remoto ao sistema aos únicos usuários autorizados;
- Isolar redes de controle e colocar sistemas críticos atrás de firewalls corretamente configurados;
- Evitar o download de pacotes de software por canais não oficiais para reduzir risco de tampering;
- Planejar atualização programada para migrar todos os sistemas afetados para a versão 3.0.
Observações e lacunas
A matéria afirma que pesquisadores identificaram que a exploração de CVE-2025-59887 pode ocorrer quando um atacante tem acesso ao pacote ou ambiente de instalação, sem fornecer PoC públicas na cobertura. Não há indicação, na reportagem, de exploração massiva em ambiente produtivo até a data da publicação.
Implicações para operações e manutenção
Administradores de infraestrutura que utilizam Eaton UPS Companion devem priorizar inventário de instalações, validar versões e planejar janelas de manutenção para aplicar a versão 3.0. Em ambientes industriais e de centros de dados, a falha de um agente de gestão de UPS pode ter impacto operacional direto; portanto, a atualização deve ser tratada como prioridade técnica.
Fonte: Cyber Security News (resumo do boletim ETN-VA-2025-1026 e recomendações da Eaton).
O que falta: a publicação não traz métricas sobre exploração ativa nem exemplos de incidentes associados. Equipes devem combinar a orientação do fabricante com controles compensatórios até que a atualização seja aplicada em toda a base instalada.