Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Siemens: julio de 2026

Fecha de publicación 14/07/2026
Identificador
INCIBE-2026-483
Importancia
5 - Crítica
Recursos Afectados
  • SICAM;
  • CPCI85;
  • SICORE Base system;
  • SIMATIC;
  • Mendix Runtime;
  • SIDIS Secured SmartPlug;
  • CADRA;
  • COMOS;
  • Designcenter NX;
  • Simcenter;
  • Solid Edge;
  • Teamcenter Visualization;
  • Tecnomatix Plant Simulation;
  • RUGGEDCOM;
  • Opcenter X.
  • Desigo CC family

Para conocer las versiones afectadas, se recomienda consultar los enlaces de la sección de referencias.

Descripción

Siemens ha publicado su boletín mensual de seguridad en el que se incluyen 377 vulnerabilidades: 18 de severidad crítica y 122 de severidad alta. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante obtener acceso completo a la aplicación, omitir restricciones del sistema, ejecutar comandos de root o escalar privilegios.

Solución

Actualizar a la última versión disponible indicada por el fabricante.

Detalle
  • CVE-2026-56451: las aplicaciones afectadas no validan correctamente el algoritmo especificado en el encabezado del token web JSON (JWT). Esto podría permitir que un atacante remoto no autenticado falsifique JWT arbitrarios, eluda los mecanismos de autenticación y suplante la identidad de cualquier usuario, incluidas las cuentas administrativas, obteniendo potencialmente acceso no autorizado completo a la aplicación.
  • CVE-2016-9841: el archivo inffast.c en zlib 1.2.8 podría permitir que atacantes que dependen del contexto tengan un impacto no especificado al aprovechar la aritmética de punteros incorrecta.
  • CVE-2022-37434: zlib hasta la versión 1.2.12 presenta una sobrelectura o desbordamiento de búfer basado en el montón en inflate.c a través de un campo extra de encabezado gzip grande. NOTA: solo las aplicaciones que llaman a inflateGetHeader se ven afectadas. Algunas aplicaciones comunes incluyen el código fuente de zlib afectado, pero es posible que no puedan llamar a inflateGetHeader (por ejemplo, consulte la referencia de nodejs/node).
  • CVE-2023-45853: MiniZip en zlib hasta la versión 1.3 presenta un desbordamiento de enteros y el consiguiente desbordamiento de búfer basado en el montón en zipOpenNewFileInZip4_64 debido a un nombre de archivo largo, un comentario o un campo adicional. 
  • CVE-2022-23303: las implementaciones de SAE en hostapd anteriores a la versión 2.10 y wpa_supplicant anteriores a la versión 2.10 son vulnerables a ataques de canal lateral debido a patrones de acceso a la caché. NOTA: este problema existe debido a una corrección incompleta para CVE-2019-9494.
  • CVE-2026-7891: la documentación de Mendix sobre reglas de acceso no describe adecuadamente el comportamiento especial de la entidad System.User, lo que deja a los desarrolladores sin la guía necesaria para configurar reglas de acceso de forma segura. Esta falta de documentación puede llevar a los desarrolladores de aplicaciones a aplicar, sin saberlo, reglas de acceso demasiado permisivas a System.User, lo que puede resultar en la exposición no deseada de datos confidenciales del usuario o en una escalada de privilegios dentro de las aplicaciones Mendix implementadas.
  • CVE-2025-15467: el análisis de mensajes CMS AuthEnvelopedData con parámetros AEAD manipulados puede provocar un desbordamiento de búfer en la pila. Resumen del impacto: Un desbordamiento de búfer en la pila puede provocar un fallo del sistema, una denegación de servicio o, potencialmente, la ejecución remota de código.
  • CVE-2023-28531: en OpenSSH, la función ssh-add, en versiones anteriores a la 9.3, agrega claves de tarjetas inteligentes a ssh-agent sin las restricciones de destino por salto previstas.

    Adicionalmente existe varias vulnerabilidades en el Kernel de Linux a las que se les han asignado los siguientes identificadores:

    • CVE-2026-23450
    • CVE-2026-23455
    • CVE-2026-31402
    • CVE-2026-31414
    • CVE-2026-31448
    • CVE-2026-31533
    • CVE-2026-31649
    • CVE-2026-31669
    • CVE-2026-31682
    • CVE-2026-43011
    • CVE-2026-43038

El detalle del resto de vulnerabilidades se puede consultar en los enlaces de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-56451 Crítica No Siemens
CVE-2016-9841 Crítica No Siemens
CVE-2022-37434 Crítica No Siemens
CVE-2023-45853 Crítica No Siemens
CVE-2022-23303 Crítica No Siemens
CVE-2026-7891 Crítica No Siemens
CVE-2025-15467 Crítica No Siemens