Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección de código en productos de Wago

Fecha de publicación 10/04/2026
Identificador
INCIBE-2026-271
Importancia
4 - Alta
Recursos Afectados
  • Versiones wago_os_linux 3.10.10 y anteriores:
    • 0750-810-xxxx-xxxx;
    • 750-820x-xxxx-xxxx.
  • Versiones wago_os_linux 4.5.10 y anteriores:
    • 0750-811x-xxxx-xxxx;
    • 0751-9x01;
    • 0752-8303-8000-0002;
    • 0762-340x;
    • 0762-420x-8000-000x;
    • 0762-430x-8000-000x;
    • 0762-520x-8000-000x;
    • 0762-530x-8000-000x;
    • 0762-620x-8000-000x;
    • 0762-630x-8000-000x;
    • 750-821x-xxxx-xxxx.
Descripción

CERT@VDE en colaboración con WAGO GmbH & Co. ha publicado una vulnerabilidad de severidad alta que, en caso de ser explotada, permitiría a un atacante autenticado con muchos privilegios ejecutar comandos de shell arbitrarios en el dispositivo afectado.

Solución

El usuario puede desactivar los privilegios de OpenVPN. El procedimiento para hacerlo se describe en el manual "Ciberseguridad para el controlador PFC100 / PFC200", sección 7.1.4, y en el manual del producto.

Detalle

CVE-2024-1490: vulnerabilidad de seguridad en la función de administración basada en web (WBM) cuando OpenVPN está habilitado. Un atacante autenticado con muchos privilegios podría ejecutar comandos de shell arbitrarios en el dispositivo afectado, lo que podría provocar una vulneración total del sistema.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2024-1490 Alta No Wago
Listado de referencias
Wago: Vulnerability in WBM through Open VPN
Etiquetas