Múltiples vulnerabilidades en productos de Rockwell Automation
- Studio 5000 Logix Designer®: V36.00 y anteriores;
- ThinManager®: 13.0.0–13.0.7, 13.1.0–13.1.5, 13.2.0–13.2.4, 14.0.0–14.0.2;
- CompactLogix® 5370 / ControlLogix® 5570 / Compact GuardLogix® 5370 / GuardLogix® 5570: V35.015 y anteriores;
- CompactLogix® 5380/5480, ControlLogix® 5580, GuardLogix® 5580 (firmware) : V34.012/V35.011 y anteriores;
- CompactLogix® 5380/5480, ControlLogix® 5580, GuardLogix® 5580 (boot firmware) : anterior a 1.072;
- 1756-EN2 / 1756-EN3 : V12.001 y anteriores;
- 1756-ENBT: V6.006;
- 1734 POINT I/O™ (1734-OB8) : 3.023;
- 1718-AENTR / 1719-AENTR : 3.011;
- 1715 Redundant I/O (1715-AENTR) : 3.003 y anteriores;
- Arena® Simulation : V17.00.00 y anteriores;
- CompactLogix® 5380, ControlLogix® 5580, GuardLogix® 5580, Compact GuardLogix® 5380 : V36-37;
- 1756-EN4TR : V6.001 / V7.001;
- FactoryTalk® DataMosaix™ Private Cloud : 8.02 y anteriores;
- FactoryTalk® Services Platform (FTSP) : 6.60;
- Flex 5000® Adapter (5094-AENTR y variantes) : v6.011.
Rockwell Automation ha publicado 19 vulnerabilidades: 1 de severidad crítica, 15 altas y 3 medias. Su explotación podría permitir a un atacante ejecutar código arbitrario, provocar condiciones de denegación de servicio, suplantar usuarios autenticados o inyectar código malicioso, entre otros impactos.
Rockwell Automation ha publicado versiones corregidas para la mayoría de los productos afectados:
- Actualizar Studio 5000 Logix Designer® a V37.00, 36.01, 35.02, 34.04, 33.04 o 32.05 según la línea de versión en uso;
- Actualizar ThinManager® a 13.0.8, 13.1.6, 13.2.5 o 14.0.3;
- Actualizar el firmware de CompactLogix®/ControlLogix®/GuardLogix® a las versiones corregidas indicadas en la tabla de recursos afectados;
- Actualizar los módulos de comunicación 1756-EN2/EN3 a V12.002 (los 1756-ENBT, al estar descatalogados, no recibirán parche; se recomienda su sustitución);
- Migrar el módulo 1734-OB8 al modelo 5034-OB8, dado que no se prevé corrección;
- Actualizar 1718/1719-AENTR a versión 3.012;
- Actualizar 1715-AENTR a versión 3.011;
- Actualizar Arena® a V17.00.01;
- Actualizar CompactLogix® 5380/ControlLogix® 5580/1756-EN4TR a V38.011/V8.001 respectivamente;
- Actualizar FactoryTalk® DataMosaix™ Private Cloud a la versión 8.03;
- Aplicar el parche RAID 1158263 (o el Patch Roll-up de febrero de 2026) en FactoryTalk® Services Platform;
- Actualizar los adaptadores Flex 5000® a v6.012.
En todos los casos en los que no exista parche disponible, o de forma complementaria, se recomienda aplicar las medidas de buenas prácticas de seguridad de Rockwell Automation, entre ellas minimizar la exposición de los sistemas de control a redes no confiables, aislarlos mediante cortafuegos y, si se requiere acceso remoto, emplear VPN actualizadas.
- CVE-2026-10577: el adaptador 1715-AENTR expone un puerto de depuración accesible por red sin controles de privilegios adecuados, lo que permite a un atacante no autenticado ejecutar comandos de línea de órdenes intrusivos, con capacidad de leer o eliminar archivos, detener tareas, modificar memoria y alterar el estado de las E/S.
- CVE-2025-12011, CVE-2025-12012 y CVE-2025-11698: afectan a las familias CompactLogix®, ControlLogix®, Compact GuardLogix® y GuardLogix® (series 5370/5570/5380/5480/5580). Las tres comparten el mismo comportamiento: un desbordamiento de búfer que puede ser provocado de forma remota mediante la carga de un proyecto inválido o la escritura de datos de fichero manipulados, forzando al dispositivo a entrar en un fallo mayor no recuperable (MNRF) que requiere intervención manual para recuperarse.
- CVE-2026-9127 y CVE-2026-9128: ambas afectan a Studio 5000 Logix Designer® y comparten el mismo vector, la configuración de herramientas externas de la aplicación. La primera se debe a una autorización incorrecta que permite a cualquier usuario autenticado modificar las rutas de dichas herramientas, mientras que la segunda se debe a que esas rutas no están correctamente entrecomilladas, permitiendo a un atacante ubicar un ejecutable malicioso en el orden de búsqueda. En ambos casos, el resultado es la ejecución de código arbitrario cuando un usuario interactúa con la funcionalidad de herramientas externas.
- CVE-2026-11917: una vulnerabilidad de path traversal en la API de ThinManager® permite a un atacante autenticado escribir archivos arbitrarios en directorios restringidos del sistema, fuera del directorio previsto por la aplicación.
- CVE-2026-9653: una validación incorrecta de paquetes CIP Implicit Connection en los módulos de comunicación 1756-EN2, 1756-EN3 y 1756-ENBT permite a un atacante en red enviar paquetes manipulados para interrumpir de forma continuada las conexiones del dispositivo, si bien estas se recuperan automáticamente.
- CVE-2026-10573: un manejo inadecuado de mensajes CIP manipulados en el módulo 1734 POINT I/O™ (1734-OB8) puede provocar que el módulo entre en un estado de fallo, requiriendo un reinicio para su recuperación.
- CVE-2026-9140: un manejo inadecuado de una tormenta de paquetes UDP unicast en el adaptador 1718/1719-AENTR provoca la sobrecarga y pérdida de comunicación del dispositivo, requiriendo un ciclo de energía para su recuperación.
- CVE-2026-8085, CVE-2026-8312, CVE-2026-8313 y CVE-2026-8314: las cuatro afectan a Arena®, una corrupción de memoria por escritura fuera de límites en distintos componentes del motor Siman (model.exe, expmt.exe, linker.exe y siman.exe respectivamente), derivada de una validación insuficiente de datos suministrados por el usuario. En los cuatro casos, un atacante podría ejecutar código arbitrario en el contexto del proceso convenciendo a la víctima de abrir un fichero de modelo manipulado.
- CVE-2026-12659: un manejo inadecuado de condiciones excepcionales al procesar paquetes CIP manipulados en los adaptadores Flex 5000® provoca una denegación de servicio, requiriendo un ciclo de energía para recuperar el módulo y las E/S asociadas.
- CVE-2026-10714: una omisión en la validación de la firma JWT durante la autenticación web con Okta en FactoryTalk® Services Platform (FTSP) permite a un atacante autenticado con bajo privilegio forjar tokens y suplantar a cualquier usuario autorizado del servidor, obteniendo acceso no autorizado a la configuración del sistema.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-10577 | Crítica | No | Rockwell Automation |
| CVE-2026-9127 | Alta | No | Rockwell Automation |
| CVE-2026-9128 | Alta | No | Rockwell Automation |
| CVE-2026-11917 | Alta | No | Rockwell Automation |
| CVE-2025-12011 | Alta | No | Rockwell Automation |
| CVE-2025-12012 | Alta | No | Rockwell Automation |
| CVE-2025-11698 | Alta | No | Rockwell Automation |
| CVE-2026-9653 | Alta | No | Rockwell Automation |
| CVE-2026-10573 | Alta | No | Rockwell Automation |
| CVE-2026-9140 | Alta | No | Rockwell Automation |
| CVE-2026-8085 | Alta | No | Rockwell Automation |
| CVE-2026-8312 | Alta | No | Rockwell Automation |
| CVE-2026-8313 | Alta | No | Rockwell Automation |
| CVE-2026-8314 | Alta | No | Rockwell Automation |
| CVE-2026-12659 | Alta | No | Rockwell Automation |
| CVE-2026-10714 | Alta | No | Rockwell Automation |
| CVE-2026-9292 | Media | No | Rockwell Automation |
| CVE-2026-9108 | Media | No | Rockwell Automation |
| CVE-2026-9636 | Media | No | Rockwell Automation |



