Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Industrial-Managed-Switches de Wago

Fecha de publicación 11/12/2025
Identificador
INCIBE-2025-0704
Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a la 02.64 del firmware de Industrial-Managed-Switches, modelos:

  • 0852-1322
  • 0852-1328
Descripción

CERT@VDE en coordinación con WAGO GmbH & Co. ha publicado dos vulnerabilidades de severidad crítica que, de ser explotadas, podrían permitir la ejecución remota de código o causar una denegación de servicio.

Solución

Actualizar los dispositivos a la versión de firmware 02.64.

Detalle

Ambas vulnerabilidades son de desbordamiento de búfer basado en pila. Un atacante remoto no autenticado puede abusar de llamadas 'sscanf' inseguras dentro de las funciones especificadas a continuación, para escribir datos arbitrarios en búferes de pila de tamaño fijo, lo que provoca que el dispositivo quede completamente comprometido:

  • CVE-2025-41732: check_cookie();
  • CVE-2025-41730: check_account().
CVE
Explotación
No
Fabricante
wago
Identificador CVE
CVE-2025-41732
Severidad
Alta
Explotación
No
Fabricante
wago
Identificador CVE
CVE-2025-41730
Severidad
Alta
Listado de referencias
WAGO: Vulnerabilities in WAGO Industrial-Managed Switches
Etiquetas