Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de autenticación insuficiente para funciones críticas en productos de Endress+Hauser

Fecha de publicación 16/07/2026
Identificador
INCIBE-2026-495
Importancia
4 - Alta
Recursos Afectados

Los siguientes productos, en todas sus versiones de firmware, están afectados:

  • FLPS;
  • GM32;
  • GMS800;
  • GMS800 FIDOR;
  • MARSIC200;
  • MARSIC280;
  • MARSIC300;
  • MCS100FT;
  • MCS200HW;
  • MCS300P;
  • MCU ETH-Service and Modbus-TCP Module;
  • MERCEM300Z;
  • MES1B B&B Converter;
  • SAM800;
  • SIPROCESS;
  • VICOTEC320.
Descripción

Endress+Hauser en coordinación con el CERT@VDE, ha reportado una vulnerabilidad de severidad alta que, en caso de ser explotada, esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, provocar una condición de denegación de servicio.

Solución

El fabricante recomienda actualizar los equipos MSC800 y MSC800 LFT a las versiones V4.26 y S2.93.20, respectivamente, donde esta vulnerabilidad ha sido corregida.

Para el resto de productos afectados no existe actualmente una actualización de seguridad. Como medidas de mitigación, Endress+Hauser recomienda:

  • Restringir el acceso a los dispositivos únicamente a entidades y usuarios autorizados;
  • Aplicar las medidas generales de seguridad durante la operación de los productos;
  • Seguir las recomendaciones de seguridad para sistemas industriales publicadas por ICS-CERT, limitando la exposición de los dispositivos y segmentando adecuadamente la red.
Detalle

CVE-2024-8751: vulnerabilidad de autenticación insuficiente para funciones críticas en la interfaz SopasET presente en diversos productos de Endress+Hauser. Un atacante remoto no autenticado podría modificar la dirección IP del dispositivo a través de dicha interfaz, lo que podría provocar una condición de denegación de servicio (DoS) e impedir el funcionamiento normal del equipo.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2024-8751 Alta No Endress+Hauser