Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ausencia de autenticación en VEGAPULS 6X PROFINET de VEGA

Fecha de publicación 24/04/2026
Identificador
INCIBE-2026-307
Importancia
4 - Alta
Recursos Afectados

VEGAPULS 6X Two-wire PROFINET, Modbus TCP, OPC UA (Ethernet-APL) en las versiones del firmware 1.0.0 y 1.1.0.

Descripción

CERT@VDE en colaboración con la Unidad de Seguridad de Productos de VEGA Grieshaber KG, han informado sobre 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podrían permitir a un atacante suplantar la identidad de usuarios autorizados.

Solución

Se recomienda actualizar el firmware a la última versión disponible y cambiar las credenciales de los dispositivos afectados.

Detalle

CVE-2026-3323: vulnerabilidad en VEGAPULS 6X Two-wire PROFINET, Modbus TCP, OPC UA por una falta de autenticación previa en una interfaz de configuración que podría permitir a atacantes remotos no autenticados acceder a información confidencial, incluidas credenciales cifradas y códigos de acceso.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3323 Alta No VEGA
Listado de referencias
VEGA: Unsecured Configuration Interface Allows Unauthorized Access Leading to Privilege Escalation
Etiquetas