Múltiples vulnerabilidades en productos de Rockwell Automation
Fecha de publicación 17/06/2026
Identificador
INCIBE-2026-433
Importancia
5 - Crítica
Recursos Afectados
- FLEX I/O EtherNet/IP Adapters: 1794-AENTR y 1794-AENTRXT, firmware 2.012.
- RSLinx Classic: versión 4.50.00 y anteriores.
- FactoryTalk Historian SE: versión 11.00 y anteriores.
- FactoryTalk Analytics PavilionX: catálogos: 9529-PV8DBENE, 95055-PV8BASET1T, 95055-PV8BASET1TPE, versión 7.00
- CompactLogix 5370 L1, L2 y L3: firmware V36.
- Compact GuardLogix 5370, ControlLogix 5570, GuardLogix 5570: versiones anteriores a 34.016, 35.015, 36.012 y 37.011 según el modelo.
Descripción
Rockwell Automation ha publicado 10 vulnerabilidades: 2 de severidad crítica, 7 altas y 1 media, en caso de ser explotadas podrían provocar acceso no autorizado, robo de cuentas, la pérdida de disponibilidad, un fallo grave e irrecuperable (MNRF), ejecutar operaciones privilegiadas, obtener un token de autenticación válido o crear paquetes maliciosos.
Solución
- FLEX I/O EtherNet/IP Adapters: 1794-AENTR, 1794-AENTRXT: firmware V2.013 o posteriores.
- RSLinx Classic: V4.50.00.
- FactoryTalk Historian SE: V12.00.00.
- FactoryTalk Analytics PavilionX: V7.01.
- CompactLogix 5370: V38.011 o V34.016 y posteriores.
- Compact GuardLogix 5370: V38.011 o V35.015 y posteriores.
- ControlLogix 5570: V36.012 o posteriores.
GuardLogix 5570: V37.011 o posteriores
Detalle
- CVE-2026-0647: vulnerabilidad crítica relacionada con la autenticación en el servidor web integrado del adaptador 1794-AENTR. Esta vulnerabilidad permite que un atacante, no autenticado, cambie la contraseña de la interfaz web del dispositivo mediante el envío de una solicitud HTTP GET manipulada a un punto final específico, sin necesidad de autenticación previa. De explotarse, esto podría provocar acceso no autorizado, robo de cuentas y la pérdida de disponibilidad del servidor web integrado del dispositivo.
- CVE-2025-13036: vulnerabilidad crítica que permite omitir la autenticación en FactoryTalk Historian Site Edition. Al enviar continuamente solicitudes al punto final de inicio de sesión, un atacante podría obtener un token de autenticación válido.
- CVE-2026-0646: vulnerabilidad de denegación de servicio en el adaptador 1794-AENTR debido a un manejo inadecuado de la memoria para las solicitudes del protocolo CIP. Esta vulnerabilidad podría provocar que el adaptador falle y pierda la conexión con sus módulos de E/S asociados, lo que requiere un reinicio manual para su recuperación.
- CVE-2020-13573: vulnerabilidad de denegación de servicio en la funcionalidad del servidor Ethernet/IP de RSLinx Classic. Una solicitud de red especialmente diseñada podría provocar una denegación de servicio. Si se explota, la aplicación dejará de responder y no se recuperará automáticamente. El usuario deberá reiniciar manualmente RSLinx Classic para restablecer su funcionamiento normal.
- CVE-2025-14272: problema de seguridad en Pavilion debido a una aplicación incorrecta de la autorización en los puntos finales de la API. Esta vulnerabilidad puede permitir que un usuario no autorizado ejecute operaciones privilegiadas, incluyendo la gestión de usuarios/roles y otras acciones administrativas.
- CVE-2025-44019: los productos AVEVA PI Data Archive son vulnerables a una excepción no controlada que, de ser explotada, podría permitir a un usuario autenticado desactivar ciertos subsistemas necesarios de PI Data Archive, lo que provocaría una denegación de servicio. Dependiendo del momento en que se produzca el fallo, podrían perderse los datos presentes en las snapshots o la caché de escritura.
- CVE-2025-36539: los productos AVEVA PI Data Archive son vulnerables a una excepción no controlada que, de ser explotada, podría permitir a un usuario autenticado desactivar ciertos subsistemas necesarios de PI Data Archive, lo que resultaría en una denegación de servicio.
- CVE-2025-11694: problema de seguridad en 1769 controladores CompactLogix debido a la falta de validación de los números de secuencia y las direcciones IP de origen en el protocolo CIP. Esto permite a los atacantes aprovechar los ID de conexión expuestos en la interfaz web para realizar ataques de denegación de servicio, lo que provoca un fallo menor.
- CVE-2026-11317: vulnerabilidad de seguridad por denegación de servicio en el producto afectado. Esta vulnerabilidad se origina en un fallo que se produce al enviar un mensaje CIP manipulado. Los dispositivos con menos memoria son más propensos a verse afectados. Esto puede provocar un fallo grave e irrecuperable (MNRF). Para recuperarse, es necesario descargar un programa.
- CVE-2026-9307: vulnerabilidad de seguridad relacionada con la divulgación de información confidencial en los controladores CompactLogix afectados. El servidor web del controlador expone los ID de conexión CIP en la página web de diagnóstico, a los que puede acceder cualquier usuario no autenticado de la red. Un atacante podría utilizar esta información para crear paquetes maliciosos, lo que provocaría una denegación de servicio.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-0647 | Crítica | No | Rockwell Automation |
| CVE-2025-13036 | Crítica | No | Rockwell Automation |
| CVE-2026-0646 | Alta | No | Rockwell Automation |
| CVE-2020-13573 | Alta | No | Rockwell Automation |
| CVE-2025-14272 | Alta | No | Rockwell Automation |
| CVE-2025-44019 | Alta | No | Rockwell Automation |
| CVE-2025-36539 | Alta | No | Rockwell Automation |
| CVE-2025-11694 | Alta | No | Rockwell Automation |
| CVE-2026-9307 | Media | No | Rockwell Automation |
Listado de referencias
