Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Denegación de servicio en XZ Utils en B&R

Fecha de publicación 01/07/2026
Identificador
INCIBE-2026-466
Importancia
4 - Alta
Recursos Afectados

Los siguientes productos de B&R están afectados:

  • PPC3100 versiones anteriores a 1.8.1 y versión 1.8.1;
  • C50 versiones anteriores a 1.8.0 y versión 1.8.0;
  • C80 versiones anteriores a 1.8.0 y versión 1.8.0;
  • FT50 versiones anteriores a 1.8.1 y versión 1.8.1;
  • MT50 versiones anteriores a 1.8.1 y versión 1.8.1;
  • T30 versiones anteriores a 1.8.0 y versión 1.8.0;
  • T80 versiones anteriores a 1.8.0 y versión 1.8.0;
  • T50 versiones anteriores a 1.8.1 y versión 1.8.1.
Descripción

ABB PSIRT junto con CISA han publicado una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante remoto provocar una condición de denegación de servicio.

Solución

B&R ha publicado actualizaciones que corrigen la vulnerabilidad. Se recomienda actualizar los productos afectados a las siguientes versiones:

  • Versión correctora 1.8.1: PPC3100, FT50, MT50 y T50;
  • Versión correctora 1.8.0: C50, C80, T30 y T80.
Detalle

CVE-2025-31115: la vulnerabilidad afecta a XZ Utils, una biblioteca utilizada para compresión de datos. Un fallo en el manejo de operaciones multihilo durante la decodificación de archivos comprimidos podría provocar errores de memoria, incluyendo uso de memoria después de liberación y escritura en posiciones de memoria no válidas. Un atacante con acceso de red al sistema afectado podría enviar datos especialmente manipulados para provocar un fallo del servicio o afectar a la disponibilidad del dispositivo.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-31115 Alta No B&R