Múltiples vulnerabilidades en productos de ABB
Fecha de publicación 21/10/2025
Identificador
INCIBE-2025-0578
Importancia
5 - Crítica
Recursos Afectados
- ALS-mini-s4 IP y ALS-mini-s8 IP: todas las versiones de firmware están afectadas.
- CoreSense™ HM: versiones iguales o anteriores a la 2.3.1.
- CoreSense™ M10: versiones iguales o anteriores a la 1.4.1.12.
Descripción
ABB ha publicado 2 vulnerabilidades: una de crítica y otra de severidad alta, cuya explotación podría permitir a un atacante tomar el control remoto del producto y cambiar su configuración o acceder a directorios restringidos.
Solución
Para los dispositivos ALS-mini-s4 IP y ALS-mini-s8 IP, ABB recomienda a los clientes que configuren correctamente el dispositivo en la red consultando la sección 'Mitigation factors' del aviso de las referencias o que apliquen soluciones alternativas para eliminar por completo el vector de ataque.
En cuanto al resto de dispositivos, las vulnerabilidades que les afectan están resueltas en las siguientes versiones:
- CoreSense™ HM: versión 2.3.4.
- CoreSense™ M10: versión 1.4.1.31.
Detalle
- CVE-2025-9574: vulnerabilidad de severidad crítica en el servidor web integrado de los controladores IP ALS-mini-S4/S8. El sistema carece de mecanismos de autenticación, lo que permite a un atacante acceder y modificar los parámetros de configuración del dispositivo sin necesidad de credenciales.
- CVE-2025-3465: vulnerabilidad de recorrido de rutas (Path Traversal), podría permitir a usuarios, no autenticados, acceder a directorios y archivos restringidos. La explotación de esta vulnerabilidad puede comprometer completamente el sistema y exponer información sensible.
CVE
Listado de referencias
