Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en PiCtory de Pilz industrial PC IndustrialPI

Fecha de publicación 01/07/2025
Identificador
INCIBE-2025-0351
Importancia
5 - Crítica
Recursos Afectados

Pilz Software PiCtory, versiones anteriores a la 2.12.

Descripción

CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de severidad crítica y 1 media que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).

Solución

Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes 'apt'. 

Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos 'sudo apt update && sudo apt upgrade -y'.

Para comprobar la versión del paquete PiCtory, introducir el comando 'dpkg -l | grep pictory'. 

Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.

Detalle

Las vulnerabilidades de severidad crítica son:

  • CVE-2025-32011: PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.
  • CVE-2025-35996: en Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-36558 y su detalle puede consultarse en las referencias.