Múltiples vulnerabilidades en productos de Trane
Fecha de publicación 13/03/2026
Identificador
INCIBE-2026-190
Importancia
4 - Alta
Recursos Afectados
- Trane Tracer SC, versiones inferiores a la v4.4_SP7;
- Trane Tracer SC+, versiones anteriores a la v6.3.2310;
- Trane Tracer Concierge, versiones anteriores a la v6.3.2310.
Descripción
Noam Moshe, de Claroty, ha descubierto 5 vulnerabilidades, 1 de severidad crítica, 2 alta y 2 media que, en caso de ser explotadas, podrían permitir el acceso a información sensible, la ejecución de comandos arbitrarios o provocar una denegación de servicio.
Solución
Actualizar los productos a las siguientes versiones:
- Tracer SC+, versión v6.30.2313
Detalle
Las vulnerabilidades de severidad crítica y alta son:
- CVE-2026-28252: el uso de un algoritmo criptográfico roto o de riesgo podría permitir a un atacante evitar la autenticación y lograr acceso al dispositivo a nivel de root.
- CVE-2026-28253: una asignación de memoria con excesivo valor de tamaño podría permitir a un atacante no autenticado provocar una condición de denegación de servicio.
- CVE-2026-28255: el uso de credenciales almacenadas en el código podría permitir a un atacante revelar información sensible y hacerse con el control de cuentas.
El resto de vulnerabilidades se pueden consultar en el aviso de las referencias.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-28252 | Crítica | No | Trane |
| CVE-2026-28253 | Alta | No | Trane |
| CVE-2026-28255 | Alta | No | Trane |
Listado de referencias
