Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en RUGGEDCOM RST2428P de Siemens

Fecha de publicación 03/06/2026
Identificador
INCIBE-2026-394
Importancia
4 - Alta
Recursos Afectados

RUGGEDCOM RST2428P (6GK6242-6PA00), todas las versiones anteriores a la V4.0.

Descripción

Siemens ha publicado 77 vulnerabilidades: 2 de severidad crítica, 56 altas, 18 medias y 1 baja que de ser explotadas podrían permitir a un atacante bloquear el programa y provocar comportamientos indefinidos o una denegación de servicio.

Solución

Actualizar a la última versión disponible.

Detalle
  • CVE-2025-49794: uso tras liberación en libxml2. Este problema se produce al analizar elementos XPath en determinadas circunstancias, cuando el schematron XML contiene los elementos de esquema <sch:name path="..."/>. Esta vulnerabilidad permite a un atacante crear un documento XML malicioso que se utilice como entrada para libxml, lo que provoca el bloqueo del programa que utiliza libxml u otros posibles comportamientos indefinidos.
  • CVE-2025-49796: el procesamiento de determinados elementos sch:name del archivo XML de entrada puede provocar un problema de corrupción de memoria. Este fallo permite a un atacante crear un archivo XML de entrada malicioso que puede provocar el bloqueo de libxml, lo que da lugar a una denegación de servicio u otros posibles comportamientos indefinidos debido a la corrupción de datos confidenciales en la memoria.

Para el resto de vulnerabilidades se recomienda revisar el aviso oficial enlazado en la sección de referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-49794 Crítica No Siemens
CVE-2025-49796 Crítica No Siemens
Listado de referencias
SSA-253495: Multiple Vulnerabilities in SINEC OS before V4.0
Etiquetas