Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en ScadaBR de ScadaBR

Fecha de publicación 20/05/2026
Identificador
INCIBE-2026-362
Importancia
5 - Crítica
Recursos Afectados

ScadaBR 1.2.0

Descripción

Arad Inbar, Nir Somech, Ben Grinberg, Daniel Lubel, Erez Cohen, y Adiel Sol de DREAM han reportado 4 vulnerabilidades: 1 de severidad crítica, 2 altas y una media que podrían permitir a un atacante ejecutar código de forma remota sin autenticación.

Solución

Por el momento no existe solución.

Se recomienda contactar con la entidad.

Detalle
  • CVE-2026-8602: ausencia de autenticación para una función crítica que podría permitir a un atacante, no autenticado, enviar solicitudes HTTP GET al sistema SCADA e inyectar lecturas arbitrarias de los sensores.
  • CVE-2026-8603: inyección de comandos del sistema operativo que podría permitir a un atacante ejecutar comandos como usuario root en el sistema SCADA.
  • CVE-2026-8604: CSRF que podría permitir a un atacante activar cualquier acción autenticada a través de la sesión de una víctima, atrayendo a cualquier usuario que haya iniciado sesión a una página web maliciosa.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-8605.

 

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8602 Crítica No ScadaBR
CVE-2026-8603 Alta No ScadaBR
CVE-2026-8604 Alta No ScadaBR
CVE-2026-8605 Media No ScadaBR
Listado de referencias
ICSA-26-139-03 - ScadaBR
Etiquetas