Múltiples vulnerabilidades en productos de Delta Electronics
Fecha de publicación 01/07/2026
Identificador
INCIBE-2026-468
Importancia
5 - Crítica
Recursos Afectados
Todas las versiones de PLC Delta Electronics DVP12SE.
Descripción
Adm Bin Harbi (0xnoag) - Corvo Security ha informado sobre 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante emitir comandos de forma remota, modificar valores operativos, interferir con la lógica de control y alterar el comportamiento del dispositivo sin autenticación ni aplicación de privilegios.
Solución
Delta Electronics es consciente de estas vulnerabilidades y actualmente está trabajando en una solución.
Se recomienda implementar las siguientes medidas de mitigación:
- Restringir el acceso al PLC solo a direcciones IP de dispositivos de confianza mediante su función de filtrado IP.
- Habilitar autenticación para evitar la descarga o modificación no autorizada de la lógica y parámetros del PLC.
- Aislar el PLC en una red OT protegida por firewall, evitando conexión directa a Internet o red corporativa y usando VPN para acceso remoto autorizado.
Detalle
- CVE-2026-12819: el PLC expone un servicio Modbus TCP a través de un puerto específico sin autenticación ni control de acceso, lo que permite la interacción sin autenticación con funciones del PLC sensibles a la seguridad. El dispositivo acepta comandos Modbus desde cualquier fuente de red accesible sin requerir credenciales, validación de privilegios ni aprobación del operador, lo que permite el acceso no autorizado de lectura y escritura a bobinas, registros de retención, memoria operativa, estados de relés y funciones de control de procesos.
- CVE-2026-12818: los PLC son susceptibles a una vulnerabilidad de asignación de recursos sin límites ni control de velocidad en su servicio Modbus TCP. Un atacante remoto podría explotar esta vulnerabilidad inundando el puerto Modbus (TCP/502) con un flujo continuo de paquetes de red sin procesar o paquetes especialmente diseñados y mal formados.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-12818 | critica | no | Delta Electronics |
| CVE-2026-12819 | critica | no | Delta Electronics |
Listado de referencias



