Avisos de seguridad de Siemens de diciembre 2025

Siemens, en su comunicado mensual de parches de seguridad, ha emitido 14 nuevos avisos de seguridad, recopilando un total de 127 vulnerabilidades de distintas severidades, entre ellas 13 crítica que se describe a continuación:

• CVE-2025-40800: el cliente IAM de los productos afectados no comprueba la validez del certificado del servidor al establecer conexiones TLS con el servidor de autorización. Esto podría permitir a un atacante llevar a cabo un ataque de tipo "Man-in-the-Middle".
• CVE-2025-40801: el SDK de SALT no valida el certificado del servidor al establecer conexiones TLS con el servidor de autorización. Esto podría permitir a un atacante realizar un ataque de tipo "Man-in-the-Middle".
• CVE-2025-40938: el dispositivo afectado almacena información confidencial en el firmware. Esto podría permitir a un atacante acceder y hacer un uso indebido de esta información, lo que podría afectar a la confidencialidad, integridad y disponibilidad del dispositivo.
• CVE-2024-47875: DOMpurify era vulnerable al mXSS basado en anidamiento. Esta vulnerabilidad se ha corregido en las versiones 2.5.0 y 3.1.3.
• CVE-2024-52533: gio/gsocks4aproxy.c en GNOME GLib anterior a la versión 2.82.1 tiene un error de desviación de uno y el consiguiente desbordamiento del búfer porque SOCKS4_CONN_MSG_LEN no es suficiente para un carácter “\0” final.

Para el resto de vulnerabilidades de severidad crítica antiguas se han asignado los siguientes identificadores CVE-2022-29873, CVE-2022-41665, CVE-2022-43439, CVE-2022-37032, CVE-2022-37434, CVE-2022-48960, CVE-2019-9893, CVE-2019-12900.

Para más información consultar los enlaces de las referencias.