[Actualización 27/08/2025] Autenticación inadecuada en productos de Danfoss
AK-SM 8xxA Series: versiones anteriores a la R4.2.
Tomer Goldschmidt, de Claroty Team82, ha reportado una vulnerabilidad de severidad alta cuya explotación podría permitir a un atacante remoto saltarse la autenticación y ejecutar código arbitrario de forma remota.
Danfoss ha creado la versión R4.2 para solucionar esta vulnerabilidad. Los usuarios pueden obtener e instalar la última versión siguiendo el Proceso de actualización del software AK-SM 800A .
Vulnerabilidad de acceso no autorizado en el gestor del sistema AK-SM 800A, causada por la generación de contraseñas basada en la fecha y hora, podría dar lugar a una evasión de la autenticación.
Se ha asignado el identificador CVE-2025-41450 para esta vulnerabilidad.
[Actualización 27/08/2025]
CISA informa de dos vulnerabilidades adicionales relacionadas con este producto:
- CVE-2025-41451: de severidad alta. Una neutralización incorrecta de los campos de configuración de alarma-a-correo que se emplean en una inyección de comandos de una shell del sistema operativo puede provocar una ejecución de código en remoto post-autenticada en el sistema atacado.
- CVE-2025-41452: de severidad media. Su detalle se puede consultar en el enlace de las referencias.
