Múltiples vulnerabilidades en WebCTRL de Automated Logic

Fecha de publicación 20/03/2026

Identificador

INCIBE-2026-205

Importancia

5 - Crítica

Recursos Afectados

Automated Logic WebCTRL Premium Server, versiones anteriores a v8.5.

Descripción

Jonathan Lee, Thuy D. Nguyen y Neil C. Rowe, de la Escuela Naval de Posgrado, han informado de 3 vulnerabilidades, 1 crítica y 2 altas, que podrían permitir a un atacante leer, interceptar o modificar las comunicaciones.

Solución

Automated Logic informa que WebCTRL 7 ha llegado al final de su vida útil (EOL) y que no cuenta con soporte desde el 27 de enero de 2023. Se recomienda a los usuarios actualizar a la última versión de la aplicación de servidor WebCTRL, que admite el protocolo BACnet/SC, más seguro.

Detalle

CVE-2026-24060: la información del servicio no se cifra al transmitirse como paquetes BACnet a través de la red, por lo que un atacante puede interceptarla, modificarla y capturarla. Es posible obtener del tráfico de red información valiosa, como la posición inicial y los datos del archivo, mediante el filtro BACnet de Wireshark. El formato propietario que utiliza WebCTRL para recibir actualizaciones del PLC también puede ser interceptado y sometido a ingeniería inversa.
CVE-2026-32666: los sistemas WebCTRL que se comunican a través de BACnet heredan la falta de autenticación de la capa de red del protocolo. WebCTRL no implementa una validación adicional del tráfico BACnet, por lo que un atacante con acceso a la red podría falsificar paquetes BACnet dirigidos al servidor WebCTRL o a los controladores AutomatedLogic asociados. Los paquetes falsificados podrían procesarse como legítimos.
CVE-2026-25086: en determinadas condiciones, un atacante podría conectarse al mismo puerto que utiliza WebCTRL. Esto le permitiría crear y enviar paquetes maliciosos y suplantar la identidad del servicio WebCTRL sin necesidad de inyectar código en el software de WebCTRL.

CVE