Vulnerabilidad en SICK AG (CVE-2026-2331)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/03/2026
Última modificación:
09/03/2026
Descripción
Un atacante puede realizar operaciones de lectura y escritura no autenticadas en áreas sensibles del sistema de archivos a través del acceso a archivos de AppEngine sobre HTTP debido a restricciones de acceso inadecuadas. Un directorio crítico del sistema de archivos fue expuesto involuntariamente a través de la función de acceso a archivos basada en HTTP, permitiendo el acceso sin autenticación. Esto incluye archivos de parámetros del dispositivo, permitiendo a un atacante leer y modificar la configuración de la aplicación, incluyendo contraseñas definidas por el cliente. Además, la exposición del directorio de la aplicación personalizada puede permitir la ejecución de código Lua arbitrario dentro del entorno aislado de AppEngine.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- https://www.first.org/cvss/calculator/3.1
- https://www.sick.com/.well-known/csaf/white/2026/sca-2026-0006.json
- https://www.sick.com/.well-known/csaf/white/2026/sca-2026-0006.pdf
- https://www.sick.com/media/docs/9/19/719/special_information_sick_operating_guidelines_cybersecurity_by_sick_en_im0106719.pdf
- https://www.sick.com/psirt