Múltiples vulnerabilidades en WebPro SNMP Card PowerValue de ABB
Fecha de publicación 08/01/2026
Identificador
INCIBE-2026-008
Importancia
4 - Alta
Recursos Afectados
Todas las versiones anteriores a 1.1.8.k, incluida, de los siguientes productos:
- WebPro SNMP Card PowerValue;
- WebPro SNMP Card PowerValue UL.
Descripción
ABB ha reportado 3 vulnerabilidades de severidad alta que, en caso de ser explotadas podrían permitir a un atacante con acceso a la red local, acceder al sistema de manera no autorizada y poder realizar ataques DoS incapacitando el buen funcionamiento de los recursos.
Solución
Se recomienda actualizar a la versión 1.1.8.p de WebPro SNMP card PowerValue.
Detalle
- CVE-2025-4675: implementación incorrecta del protocolo Modbus en el dispositivo. Esto da lugar a que el puerto 502 se vuelva inestable y la indisponibilidad del servicio Modbus hasta que se reinicia manualmente el dispositivo.
- CVE-2025-4676: omisión de autenticación mediante fuerza bruta en los encabezados de autenticación ya que simplemente se validan los primeros caracteres de la cookie de sesión y el token. Esto da lugar a que si solo los primeros caracteres son correctos, el usuario será validado. Un atacante podría realizar fuerza bruta y eludir fácilmente la autenticación.
- CVE-2025-4677: el tiempo de espera de sesión inactiva no está configurado para los puertos 23 y 502, por lo que la explotación de esta vulnerabilidad podría permitir a un atacante establecer varias conexiones con el dispositivo y provocar la indisponibilidad de los recursos del dispositivo.
CVE
Listado de referencias
