Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Weintek

Fecha de publicación 23/01/2026
Identificador
INCIBE-2026-052
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones del servicio HMI EasyWeb de la serie cMT X de Weintek se ven afectadas:

  • cMT3072XH;
  • cMT3072XH(T);
  • cMT-SVRX-820;
  • cMT-CTRL01.
Descripción

Joel Aviad Ossi de WebSec B.V ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante manipular los privilegios a nivel de cuenta o llevar a cabo una escalada de privilegios.

Solución

Actualizar los productos afectados a la última versión disponible.

Detalle
  • CVE-2025-14750: la aplicación web no verifica suficientemente las entradas que se supone que son inmutables, pero que en realidad son controlables externamente. Un usuario con pocos privilegios puede modificar los parámetros y, potencialmente, manipular los privilegios a nivel de cuenta.
  • CVE-2025-14751: un usuario con privilegios limitados puede eludir las credenciales de la cuenta sin que se confirme el estado de autenticación actual del usuario, lo que puede dar lugar a una escalada de privilegios no autorizada.
CVE
Explotación
No
Fabricante
weintek
Identificador CVE
CVE-2025-14750
Severidad
Alta
Explotación
No
Fabricante
weintek
Identificador CVE
CVE-2025-14751
Severidad
Alta
Listado de referencias
ICSA-26-022-05 (CISA): Weintek cMT X Series HMI EasyWeb Service
Etiquetas