Múltiples vulnerabilidades en PowerSYSTEM Center de Subnet Solutions
- PowerSYSTEM Center 2020: versiones anteriores a 5.28.x, incluida.(CVE-2026-35504);
- PowerSYSTEM Center 2020 versiones desde la 5.8.x hasta la 5.28.x, ambas incluidas. (CVE-2026-26289);
- PowerSYSTEM Center 2020 versiones desde la 5.11.x hasta la 5.28.x, ambas incluidas. (CVE-2026-33570);
- PowerSYSTEM Center 2024 versiones desde la 6.0.x hasta la 6.1.x, ambas incluidas. (CVE-2026-26289, CVE-2026-35555, CVE-2026-35504);
- PowerSYSTEM Center 2026: versión 7.0.x (CVE-2026-26289, CVE-2026-35555, CVE-2026-35504);
Kelly Stich, de Subnet Solutions Inc., ha informado sobre 4 vulnerabilidad: 1 de severidad alta y 3 medias, que en caso de ser explotadas, podrían permitir a un atacante autenticado exponer información confidencial o provocar una inyección CRLF.
Actualizar a la última versión de PowerSYSTEM Center PSC 2020 Update 29, PSC 2024 Update 2 y PSC 2026 GA Hotfix.
CVE-2026-26289: El endpoint de la API REST de PowerSYSTEM Center para la exportación de cuentas de dispositivos permite que, un usuario autenticado con permisos limitados exponga información confidencial que normalmente está restringida únicamente a los permisos administrativos.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2026-33570, CVE-2026-35555 y CVE-2026-35504,
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33570 | Media | No | Subnet Solutions |
| CVE-2026-35555 | Media | No | Subnet Solutions |
| CVE-2026-35504 | Media | No | Subnet Solutions |
| CVE-2026-26289 | Alta | No | Subnet Solutions |
