Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Avisos de seguridad de Siemens de marzo de 2026

Fecha de publicación 10/03/2026
Identificador
INCIBE-2026-175
Importancia
5 - Crítica
Recursos Afectados
  • Heliox Flex 180 kW EV Charging Station, todas las versiones anteriores a F4.11.1 y L4.10.1.
  • SIDIS Prime todas las versiones anteriores a V4.0.800;
  • SICAM SIAPP SDK todas las versiones anteriores a V2.1.7;
  • RUGGEDCOM APE1808, todas las versiones con Fortinet NGFW anteriores a V7.4.11 y V7.4.10.
  • SIMATIC S7-1500 CPU family todas las versiones anteriores a V4.1.2;
  • Todas las versiones de los siguientes productos:
    • SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0);
    • SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0);
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) V2 CPUs - Windows OS;
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC3 (incl. SIPLUS variants) V2 CPUs - Windows OS;
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants);
    • SIMATIC S7-1500 Software Controller V2;
    • SIMATIC S7-1500 Software Controller V3;
    • SIMATIC S7-1500 Software Controller V4;
    • SIMATIC S7-PLCSIM Advanced.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad en varios de sus productos las cuales están relacionadas con un total de 35 vulnerabilidades.

Solución

Se recomienda actualizar los productos en la medida que sea posible. Para ello visite el panel de descarga de Siemens. Si no es posible actualizar, en caso contrario aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido 5 nuevos avisos de seguridad, recopilando un total de 35 vulnerabilidades de distintas severidades.

Las vulnerabilidades críticas son:

  • CVE-2025-40943: los dispositivos SIMATIC afectados no depuran correctamente el contenido de los archivos de rastreo. Lo cual podría permitir a un atacante inyectar código mediante ingeniería social a un usuario legítimo para que importe un archivo de rastreo especialmente diseñado.
  • CVE-2025-7783: el uso de valores aleatorios insuficientes en los datos del formulario del producto SIDIS Prime permite la contaminación de parámetros HTTP (HPP). Esta vulnerabilidad está asociada con los archivos de programa lib/form_data.Js.
  • CVE-2026-24858: omisión de autenticación mediante una ruta o canal alternativo en varias versiones de Fortinet FortiAnalyzer pueden permitir que un atacante con una cuenta FortiCloud y un dispositivo registrado inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos. Esta vulnerabilidad está presente en todos los productos RUGGEDCOM APE1808 que tengan Fortinet NGFW.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-40943 Crítica No Siemens
CVE-2025-7783 Crítica No Siemens
CVE-2026-24858 Crítica No Siemens
Listado de referencias
SSA-975644: Multiple Vulnerabilities in Fortigate NGFW on RUGGEDCOM APE1808 Devices
SSA-903736: Multiple vulnerabilities in SICAM SIAPP SDK before V2.1.7
SSB-751527: Misconfiguration in Mendix Applications
SSA-485750: Multiple Vulnerabilities in SIDIS Prime Before V4.0.800
SSA-452276: Stored Cross-Site Scripting Vulnerability in SIMATIC S7-1500
SSA-126399: Improper Access Control Vulnerability in Heliox EV Chargers
ICSA-26-071-02 - Siemens RUGGEDCOM APE1808
ICSA-26-071-03 - Siemens SIDIS Prime
ICSA-26-071-04 - Siemens SIMATIC
ICSA-26-071-05 - Siemens Heliox EV Chargers
Etiquetas