Múltiples vulnerabilidades en Copeland XWEB y XWEB Pro
Fecha de publicación 27/02/2026
Identificador
INCIBE-2026-153
Importancia
5 - Crítica
Recursos Afectados
- Copeland XWEB 300D PRO, versión 1.12.1 y anteriores;
- Copeland XWEB 500D PRO, versión 1.12.1 y anteriores;
- Copeland XWEB 500B PRO, versión 1.12.1 y anteriores.
Descripción
Amir Zaltzman y Noam Moshe de Claroty Team82 han informado de 23 vulnerabilidades, 2 de severidad crítica, 19 alta, 1 media y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante evitar la autenticación, provocar una condición de denegación de servicio, crear una corrupción de memoria y ejecutar código arbitrario.
Solución
Actualizar a la última versión.
Detalle
Las vulnerabilidades son:
- CVE-2026-21718: vulnerabilidad de omisión de autenticación en Copeland XWEB permite a cualquier atacante evitar los requisitos de autenticación y ejecutar en el sistema código preautenticado.
- CVE-2026-24663: inyección de comandos del SO en Copeland XWEB que permite a un atacante no autenticado ejecutar código en remoto en el sistema enviando una solicitud manipulada a las rutas de instalación de las bibliotecas e inyectando entradas maliciosas en el cuerpo de la solicitud.
- CVE-2026-25085: un valor de retorno de la rutina de autenticación es procesado más tarde como un valor legítimo, lo que deriva en una elusión de autenticación.
- CVE-2026-21389: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en el cuerpo de solicitud que se envía a la ruta de importación de contactos.
- CVE-2026-25111: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de restauración.
- CVE-2026-20742: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de plantillas.
- CVE-2026-24517: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de actualización del firmware.
- CVE-2026-25195: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto suplantando un fichero de actualización del firmware manipulado a través de la ruta de actuación del firmware.
- CVE-2026-20910: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos de la acción de actualización del firmware.
- CVE-2026-24689: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos de la acción de aplicar la actualización de firmware.
- CVE-2026-25109: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos cuando se accede a la ruta de configuración.
- CVE-2026-20902: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo del nombre del archivo del mapa durante la acción de carga del mapa de la ruta de parámetros.
- CVE-2026-24695: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en los campos de argumentos de OpenSSL dentro de las solicitudes enviadas a la ruta de la utilidad.
- CVE-2026-25105: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en los parámetros de la herramienta de comandos Modbus en la ruta de depuración.
- CVE-2026-24452: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto proporcionando un archivo de plantilla creado específicamente para ello a la ruta de los dispositivos.
- CVE-2026-23702: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto enviando entradas maliciosas inyectadas en el campo de nombre de usuario del servidor de la acción de preconfiguración de importación en la ruta API V1.
- CVE-2026-25721: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la inyección de entradas maliciosas en los campos de nombre de usuario y/o contraseña del servidor de la acción de restauración en la ruta API V1.
- CVE-2026-20764: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto proporcionando entradas maliciosas a través de la configuración del nombre de host del dispositivo, que posteriormente se procesa durante la configuración del sistema, lo que da lugar a la ejecución de código remoto.
- CVE-2026-25196: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la inyección de entradas maliciosas en los campos SSID y/o contraseña de la red WiFi, lo que puede dar lugar a la ejecución de código remoto cuando se procesa la configuración.
- CVE-2026-25037: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la configuración de un estado LCD malicioso que posteriormente se procesa durante la configuración del sistema.
- CVE-2026-3037: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto modificando entradas maliciosas inyectadas en la URL del servicio MBird SMS y/o en el código a través de la ruta de la utilidad, que posteriormente se procesa durante la configuración del sistema.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-21718 | Crítica | No | Copeland |
| CVE-2026-24663 | Crítica | No | Copeland |
| CVE-2026-25085 | Alta | No | Copeland |
| CVE-2026-21389 | Alta | No | Copeland |
| CVE-2026-25111 | Alta | No | Copeland |
| CVE-2026-20742 | Alta | No | Copeland |
| CVE-2026-24517 | Alta | No | Copeland |
| CVE-2026-25195 | Alta | No | Copeland |
| CVE-2026-20910 | Alta | No | Copeland |
| CVE-2026-24689 | Alta | No | Copeland |
| CVE-2026-25109 | Alta | No | Copeland |
| CVE-2026-20902 | Alta | No | Copeland |
| CVE-2026-24695 | Alta | No | Copeland |
| CVE-2026-25105 | Alta | No | Copeland |
| CVE-2026-24452 | Alta | No | Copeland |
| CVE-2026-23702 | Alta | No | Copeland |
| CVE-2026-25721 | Alta | No | Copeland |
| CVE-2026-20764 | Alta | No | Copeland |
| CVE-2026-25196 | Alta | No | Copeland |
| CVE-2026-25037 | Alta | No | Copeland |
| CVE-2026-3037 | Alta | No | Copeland |
Listado de referencias
