Múltiples vulnerabilidades en productos de Rockwell Automation

Fecha de publicación 21/01/2026

Identificador

INCIBE-2026-042

Importancia

4 - Alta

Recursos Afectados

Para CVE-2025-9464, CVE-2025-9465, CVE-2025-9466, CVE-2025-9278, CVE-2025-9279, CVE-2025-9280, CVE-2025-9281, CVE-2025-9282 y CVE-2025-9283:
- ArmorStart® LT, versiones V2.002 y anteriores.
Para CVE-2025-14376 y CVE-2025-14377:
- Verve Asset Manager, versiones 1.33, 1.34, 1.35, 1.36, 1.37 ,1.38 ,1.39 ,1.40 ,1.4 ,1.41.1 ,1.41.2 y 1.41.3.
Para CVE-2025-11743:
- CompactLogix® 5370, versiónes 34.013 y 35.012 y anteriores a estas y versión 36.011.
Para CVE-2025-14027:
- ControlLogix® Redundancy Enhanced Module, todas las versiones.

Descripción

Rockwell Automation ha publicado 13 vulnerabilidades, de severidad alta, cuya explotación podría permitir a un atacante provocar una condición de denegación de servicio (DoS).

Solución

Rockwell Automation recomienda actualizar los productos afectados a las siguientes versiones:

Verve Asset Manager: el componente se ha eliminado por completo en la versión 1.42.
CompactLogix® 5370: actualizar a la versión 37.011 y posteriores, versión 34.016, versión 35.015, y versión 36.012.
ControlLogix® Redundancy Enhanced Module: actualizar a la versión de firmware 1756-RM3.

De momento no hay una solución disponible para las vulnerabilidades que afectan a las distintas versiones de ArmorStart® LT.

Detalle

Se han identificado varias vulnerabilidades en ArmorStart® LT que pueden provocar denegaciones de servicio durante la ejecución de pruebas de robustez y fuzzing:
- CVE-2025-9464: el fuzzing de distintas clases CIP puede provocar que el puerto CIP deje de responder.
- CVE-2025-9465, CVE-2025-9466, CVE-2025-9279, CVE-2025-9281, CVE-2025-9282 y CVE-2025-9283: durante la ejecución de distintas pruebas Achilles (gramaticales, EtherNet/IP, CIP y Step Limit Storm), el dispositivo puede reiniciarse inesperadamente, causando la pérdida temporal del monitor de estado del enlace.
- CVE-2025-9278: un escaneo activo con Burp Suite puede provocar la pérdida de conectividad ICMP, dejando inaccesible la aplicación web.
- CVE-2025-9280: el fuzzing con Defensics puede hacer que el dispositivo deje de responder, siendo necesario un reinicio manual para recuperar el servicio.
CVE-2025-14376: vulnerabilidad en el componente heredado del servidor ADI de Verve Asset Manager, causado por secretos en texto plano almacenados en variables de entorno en el servidor ADI.
CVE-2025-14377: vulnerabilidad en el componente heredado Ansible playbook de Verve Asset Manager, causado por el almacenamiento incorrecto de secretos en texto plano cuando se ejecuta un playbook.
CVE-2025-11743: vulnerabilidad de denegación de servicio en CompactLogix® 5370, cuando se envía un mensaje CIP forward open malformado. Esto podría provocar un fallo grave irrecuperable que requeriría un reinicio para recuperarse.
CVE-2025-14027: múltiples vulnerabilidades de denegación de servicio en ControlLogix® Redundancy Enhanced Module. Su explotación puede provocar que el dispositivo deje de responder y, en algunos casos, dar lugar a un fallo grave irrecuperable. La recuperación puede requerir un reinicio.