Múltiples vulnerabilidades en productos Wago
Los productos afectados son los siguientes:
- WAGO Device Manager:
- CC100 0751-9x01;
- Edge Controller 0752-8303/8000-0002;
- PFC100 G1 0750-810x/xxxx-xxxx;
- PFC100 G2 0750-811x-xxxx-xxxx;
- PFC200 G1 750-820x-xxx-xxx;
- PFC200 G2 750-821x-xxx-xxx;
- TP600 0762-420x/8000-000x;
- TP600 0762-430x/8000-000x;
- TP600 0762-520x/8000-000x;
- TP600 0762-530x/8000-000x;
- TP600 0762-620x/8000-000x;
- TP600 0762-630x/8000-000x;
- APPs CtrlX OS Device Admin y Solutions:
- Edge Controller 0752-8303_8000-0002
En los enlaces de las referencias se puede consultar el detalle de las versiones afectadas.
CERT@VDE ha informado de 17 vulnerabilidades que afectan a los productos WAGO; de ellas, 7 son de severidad alta y 10 media. En caso de ser explotadas podrían permitir a un atacante, no autorizado, en remoto acceder a los recursos del servidor, exfiltrar información y comprometer la integridad del dispositivo. Un atacante también puede aumentar sus privilegios y llegar a obtener el control total del dispositivo.
Actualizar a la última versión del firmware.
Las APPs CtrlX OS Device Admin y Solutions, también deben ser actualizadas a las siguientes versiones:
- Device Admin, versión 2.6.9;
- Solutions, versión 2.6.1.
Las vulnerabilidades de severidad alta son:
- CVE-2025-25264: política de dominio cruzado permisiva con dominios que no son de confianza. Un atacante remoto, no autenticado, puede aprovechar la actual política de CORS excesivamente permisiva para acceder y leer las respuestas. De esta forma puede llegar a acceder a información sensible o realizar nuevos ataques.
- CVE-2025-25265: falta de autenticación en función crítica. En una ruta específica se puede acceder a una aplicación web para configurar el controlador. Ahí hay un endpoint que puede permitir a un atacante remoto, no autenticado, leer archivos de la estructura de archivos del sistema.
- CVE-2025-24351: neutralización incorrecta de elementos especiales usados en un comando del SO (Inyección de comandos en SO). Hay una vulnerabilidad en la funcionalidad "Remote Loggin" de la aplicación web del ctrlX OS que permite a un atacante autenticado en remoto y con pocos privilegios, ejecutar comandos arbitrarios del SO como 'root' mediante una petición HTTP manipulada.
- CVE-2025-24344: neutralización incorrecta de un script en el mensaje de error de una página web. Hay una vulnerabilidad en los mensajes de notificación de error de la aplicación web de ctrlX OS que permite a un atacante en remoto, no autenticado, inyectar etiquetas HTML arbitrarias y ejecutar código arbitrario en el lado del cliente, en el contexto de otro navegador del usuario, mediante una solicitud HTTP manipulada.
- CVE-2025-24338: codificación o escape inapropiado de la salida. Hay una vulnerabilidad en la funcionalidad de la aplicación web de ctrlX OS "Manages app data" que permite a un atacante autenticado en remoto y con pocos privilegios ejecutar código arbitrario en el lado del cliente en el contexto de otro navegador del usuario mediante múltiples solicitudes HTTP manipuladas.
- CVE-2025-24343: salto de directorio relativo. Hay una vulnerabilidad en la funcionalidad “Manages app data” de la aplicación web de ctrlX OS permite que un atacante remoto autenticado (con privilegios bajos) escriba archivos arbitrarios en rutas arbitrarias del sistema de archivos a través de una solicitud HTTP diseñada.
- CVE-2025-24350: salto de directorio relativo. Hay una vulnerabilidad en la funcionalidad de la aplicación web de ctrlX OS "Certificates and Keys" que permite a un atacante autenticado en remoto y con pocos privilegios escribir certificados arbitrarios en rutas de sistemas de ficheros arbitrarias mediante solicitudes HTTP manipuladas.
Las vulnerabilidades de severidad media y su detalle se pueden consultar en los enlaces de las referencias.
