Múltiples vulnerabilidades en productos de Rockwell Automation
Fecha de publicación 10/09/2025
Identificador
INCIBE-2025-0487
Importancia
4 - Alta
Recursos Afectados
- Analytics LogixAI;
- ControlLogix 5580;
- CompactLogix® 5480;
- Stratix IOS;
- 1783-NATR;
- ThinManager;
- FactoryTalk Optix;
- FactoryTalk Activation Manager.
Para conocer las versiones afectadas, consultar los enlaces de las referencias.
Descripción
Rockwell ha informado de 8 vulnerabilidades 7 de severidad alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante acceder a información sensible, provocar un fallo no recuperable en el controlador y ejecutar código arbitrario, entre otras acciones.
Solución
Actualizar a la ultima versión del producto.
Para CompactLogix® 5480, actualmente no hay disponible un parche que solucione el problema, por lo que se recomienda tener el producto y la red debidamente securizadas.
Detalle
La vulnerabilidades detectadas son las siguientes:
- CVE-2025-9364. Severidad alta. Vulnerabilidad de tipo exposición de información sensible del sistema a una esfera de control no autorizada. Un atacante que se encuentre en la intranet puede acceder a información sensible y modificarla.
- CVE-2025-9166. Severidad alta. Vulnerabilidad de tipo desreferencia a puntero nulo. El controlador del producto intenta reenviar mensajes repetidamente, lo que podría resultar en un fallo no recuperable importante en el controlador y, por tanto, producir una denegación de servicio.
- CVE-2025-9160. Severidad alta. Vulnerabilidad de tipo falta de autenticación en una función crítica. Un atacante con acceso físico puede abusar del menú de mantenimiento del controlador con una carga útil manipulada, lo que puede derivar en una ejecución de código arbitrario.
- CVE-2025-7350. Severidad alta. Vulnerabilidad de tipo neutralización incorrecta de elementos especiales en la salida utilizados por un componente posterior (inyección). Un atacante puede cargar y ejecutar configuraciones maliciosas sin autenticación, lo que puede derivar en una ejecución de código en remoto.
- CVE-2025-9065. Severidad alta. Vulnerabilidad de tipo petición falsificada del lado del servidor (SSRF, Server-Side Request Forgery). Atacantes autenticados pueden explotar esta vulnerabilidad especificando rutas SMB externas, lo que provoca que se exponga el hash de la cuenta de servicio NTLM de ThinServer.
- CVE-2025-9161. Severidad alta. Vulnerabilidad de tipo validación de entrada inadecuada. El programa no depura las URI correctamente, esto permite que se puedan cargar plugins de Mosquito, lo que puede provocar una ejecución de código en remoto.
- CVE-2025-7970. Severidad alta. Vulnerabilidad de tipo implementación incorrecta de un algoritmo de autenticación. Un error software en la implementación de la criptografía podría permitir a los atacantes descifrar el tráfico. Esto podría dar lugar a la exposición de datos, el secuestro de sesiones y el compromiso total de las comunicaciones.
- CVE-2020-28895. Severidad media. Vulnerabilidad de tipo uso de componentes de terceros dependientes de la plataforma. Existe un problema en la gestión del tamaño de la memoria que puede hacer que la memoria almacenada sea más pequeña que el tamaño del búfer especificado en los argumentos, lo que deriva en una corrupción de memoria.
CVE
Listado de referencias
