Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Asset Suite de Hitachi Energy

Fecha de publicación 30/05/2025
Identificador
INCIBE-2025-0281
Importancia
5 - Crítica
Recursos Afectados
  • Asset Suite, versión 9.6.4.4;
  • Asset Suite, versión 9.7;
  • Asset Suite AnyWhere for Inventory (AWI) Android mobile app versiones 11.5 (awi_11.5_armv7) y anteriores.
Descripción

Hitachi Energy ha informado de 6 vulnerabilidades, 1 crítica, 4 altas y 1 media que, de ser explotadas, podrían afectar a la confidencialidad, integridad y/o disponibilidad del producto.

Solución

Para Asset Suite versión 9.6.4.4, actualizar a la versión Asset Suite versión 9.6.4.5.

Para el resto de productos no hay disponible un parche que resuelva el problema, por lo que se recomienda extremar las medidas de seguridad física y lógica de la red donde se encuentra el producto, para mitigar lo máximo posible que las vulnerabilidades puedan ser explotadas.

Detalle

Las vulnerabilidades de severidad crítica y alta son:

  • CVE-2025-2500, de severidad crítica. Los servicios Web SOAP tienen una vulnerabilidad que, si se logra explotar, podrían permitir a un atacante obtener acceso no autorizado al producto y ampliar la duración de la ventana de oportunidad de un posible ataque con contraseña.
  • CVE-2019-9262, de severidad alta. El componente MPEG4Extractor del extractor de medios tiene una vulnerabilidad que, si se logra explotar, podría permitir a un atacante realizar una escritura fuera de límites, que podría provocar la ejecución remota de código malicioso.
  • CVE-2019-9429, de severidad alta. El componente profman es vulnerable a un corrupción de memoria. Si se logra explotar, un atacante podría provocar una escritura fuera de límites, lo que podría conducir a una escalada de privilegios
  • CVE-2019-9256, de severidad alta. El componente libmediaextractor tiene una vulnerabilidad que, si se logra explotar, permite a un atacante provocar una escritura fuera de límites debido a un desbordamiento de enteros. Lo que podría derivar en un ejecución remota de código (RCE).
  • CVE-2019-9290, de severidad alta. El componente tzdata tiene una vulnerabilidad debido a un desajuste entre las funciones de asignación y desasignación. Si se logra explotar podría permitir a un atacante provocar una corrupción de memoria y, potencialmente, lograr una escalada local de privilegios.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-1484 y su detalle se puede consultar en las referencias.

Listado de referencias
Hitachi Energy (8DBD000212) - Cross-Site Scripting & Mobile Application Vulnerabilities in Hitachi Energy’s Asset Suite Product
Etiquetas