Inserción de información confidencial en productos de Endress+Hauser
- Promag 10 con HART: versiones anteriores a 01.00.06;
- Promag 10 con IO-Link: versiones anteriores a 01.00.02;
- Promag 10 con Modbus: versiones anteriores a 01.00.06;
- Promass 10 con HART: versiones anteriores a 01.00.06;
- Promass 10 con IO-Link: versiones anteriores a 01.00.02;
- Promass 10 con Modbus: versiones anteriores a 01.00.06.
CERT@VDE coordinado con Endress+Hauser ha publicado una vulnerabilidad de severidad alta que podría permitir una escalada de privilegios y realizar cambios de configuración no autorizados.
Endress+Hauser ha publicado versiones actualizadas del firmware para los dispositivos afectados que solucionan esta vulnerabilidad. Si no es posible actualizar el firmware de inmediato, se recomienda desactivar la comunicación Bluetooth del dispositivo cuando no esté en uso.
CVE-2025-41690: vulnerabilidad de inserción de información confidencial en el archivo de registro. Un atacante con pocos privilegios dentro del alcance de Bluetooth podría acceder a la contraseña de un usuario con mayores privilegios (Mantenimiento) al consultar el registro de eventos del dispositivo. Esta vulnerabilidad podría permitir que el Operador se autentique como usuario de Mantenimiento, obteniendo así acceso no autorizado a ajustes de configuración sensibles y la posibilidad de modificar los parámetros del dispositivo.
