Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de mySCADA

Fecha de publicación 24/01/2025
Identificador
INCIBE-2025-0035
Importancia
5 - Crítica
Recursos Afectados
  • myPRO Manager: versiones anteriores a 1.3;
  • myPRO Runtime: versiones anteriores a  9.2.1.
Descripción

Mehmet INCE (@mdisec) de PRODAFT.com, en colaboración con Trend Micro Zero Day Initiative (ZDI), ha reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información sensible.

Solución

MySCADA recomienda actualizar a las últimas versiones:

  • mySCADA PRO Manager: versión 1.3;
  • mySCADA PRO Runtime: versión 9.2.1.
Detalle
  • MySCADA myPRO no neutraliza correctamente las solicitudes POST enviadas a un puerto específico con información de correo electrónico. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20061 para esta vulnerabilidad.
  • MySCADA myPRO no neutraliza correctamente las peticiones POST enviadas a un puerto específico con información sobre la versión. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20014 para esta vulnerabilidad.
Listado de referencias