Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Weidmueller

Fecha de publicación 06/03/2025
Identificador
INCIBE-2025-0122
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos están afectados:

  • Para la vulnerabilidad CVE-2025-1393:
    • PROCON-WIN versiones anteriores a la 5.7.14.1;
  • Para la vulnerabilidad CVE-2016-2183:
    • IE-SW-PL10M-3GT-7TX, versiones anteriores a la V3.3.32;
    • IE-SW-PL10MT-3GT-7TX, versiones anteriores a la V3.3.32;
    • IE-SW-PL16M-16TX, versiones anteriores a la V3.4.30;
    • IE-SW-PL16MT-16TX, versiones anteriores a la V3.4.30;
    • IE-SW-PL18M-2GC-16TX, versiones anteriores a la V3.4.38;
    • IE-SW-PL18MT-2GC-16TX, versiones anteriores a la V3.4.38;
    • IE-SW-VL05M-5TX, versiones anteriores a la V3.6.30;
    • IE-SW-VL05MT-5TX, versiones anteriores a la V3.6.30;
    • IE-SW-VL08MT-5TX-1SC-2SCS, versiones anteriores a la V3.5.34;
    • IE-SW-VL08MT-6TX-2SC, versiones anteriores a la V3.5.34;
    • IE-SW-VL08MT-6TX-2SCS, versiones anteriores a la V3.5.34;
    • IE-SW-VL08MT-6TX-2ST, versiones anteriores a la V3.5.34;
    • IE-SW-VL08MT-8TX, versiones anteriores a la V3.5.34.
Descripción

Weidmueller ha informado de dos vulnerabilidades que afectan a varios de sus productos, una de severidad crítica y otra alta, que de ser explotadas podrían permitir a un atacante remoto obtener permisos de administrador y acceder a información privada.

Solución

Actualizar a la última versión disponible de cada producto.

Adicionalmente se recomienda seguir unas medidas básicas de ciberseguridad y minimizar al exposición de los productos a Internet, así como, implementar los mecanismos necesarios para limitar el acceso a las redes de confianza.

Detalle
  • PROCON-WIN tiene credenciales embebidas que podrían ser utilizadas por un atacante remoto para obtener privilegios de administrador. Esta vulnerabilidad tiene una severidad crítica y se le ha asignado el identificador CVE-2025-1393.
  • Los productos de la familia IE-SW, son susceptibles a un ataque de cumpleaños conocido como SWEET32. Si se explota, se puede producir una revelación de información sensible. Esta vulnerabilidad tiene una severidad alta y se le ha asignado el identificador CVE-2016-2183.