Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Lenze SE

Fecha de publicación 28/05/2025
Identificador
INCIBE-2025-0273
Importancia
4 - Alta
Recursos Afectados

La vulnerabilidad se encuentra en el cliente VPN de IXON anterior a la versión 1.4.4 de los productos:

  • x510;
  • x520;
  • x530;
  • x540.
Descripción

CERT@VDE en coordinación con Lenze SE ha publicado 2 vulnerabilidades de severidad alta que podrían permitir a usuarios locales, sin privilegios, escalar a root o SYSTEM explotando una condición de carrera en el cliente VPN.

Solución

Para solucionar la vulnerabilidad de se recomienda actualizar a la versión 1.4.4 o posterior.

Detalle

Las vulnerabilidades podrían permitir la escalada de privilegios locales a usuario root en Linux y macOS o SYSTEM en Windows, al ejecutar código desde un archivo de configuración que puede ser controlado por un usuario con pocos privilegios. Existe una condición de carrera que permite sobrescribir un archivo de configuración temporal, ubicado en un directorio con permisos de escritura global.

Se han asignado los identificadores CVE-2025-26168 y CVE-2025-26169 para estas vulnerabilidades.

Listado de referencias
Lenze: VPN Client Privilege Escalation in combination with Lenze x500 IoT Gateway
Etiquetas