Múltiples vulnerabilidades en Rexroth IndraWorks de Bosch

Fecha de publicación 16/02/2026

Identificador

INCIBE-2026-114

Importancia

4 - Alta

Recursos Afectados

Rexroth IndraWorks en las versiones anteriores a 15V24 (CVE-2025-60035 y CVE-2025-60036);
Rexroth IndraWorks todas las versiones (CVE-2025-60037 y CVE-2025-60038);
Rexroth UA.Testclient en las versiones anteriores a 2.9.0.

Descripción

Trend Micro ha identificado 4 vulnerabilidades de severidades altas en la serie de productos Rexroth IndraWorks que, en el caso de ser explotadas podrían conllevar a la ejecución de código remota.

Solución

La versión IndraWorks 15V24 se lanzará el día 27 de febrero de 2026, y contendrá las correcciones de las vulnerabilidades CVE-2025-60035 y CVE-2025-60036. Las versiones actualizadas de IndraWorks para CVE-2025-60037 y CVE-2025-60038 estarán disponibles más adelante.

UA.TestClient (afectado por CVE-2025-60036) eliminará por completo del paquete a partir de la versión 15V24 de IndraWorks. Se recomienda a los usuarios instalar el paquete independiente, que estará disponible en la Sala de Colaboración. UA.TestClient 2.9.0 y versiones posteriores.

Se recomienda actualizar los equipos cuando estas actualizaciones estén disponibles. Mientras tanto, se recomienda la práctica de solo abrir y procesar archivos de fuentes confiables.

Detalle

CVE-2025-60035: vulnerabilidad en la utilidad OPC.Testclient, incluida en todas las versiones anteriores a la 15V24 de Rexroth IndraWorks.
CVE-2025-60036: vulnerabilidad en la utilidad UA.Testclient, incluida en todas las versiones anteriores a la 15V24 de Rexroth IndraWorks.
CVE-2025-60037 y CVE-2025-60038: vulnerabilidades en Rexroth IndraWorks.

Estas vulnerabilidades podrían permitir que un atacante ejecutase código arbitrario en el producto afectado con el simple hecho de engañar al usuario para que abra un archivo especialmente diseñado y así poder provocar que la aplicación deserialice los datos maliciosos, lo que habilitaría la ejecución remota de código (RCE).

CVE