Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inicialización insegura predeterminada de recurso en WAGO

Fecha de publicación 07/07/2025
Identificador
INCIBE-2025-0359
Importancia
5 - Crítica
Recursos Afectados
  • Wago Device Sphere, versión 1.0.0.
Descripción

CERT@VDE ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, permite a un atacante no autenticado obtener acceso completo a la herramienta y todos los dispositivos conectados.

Solución

Actualizar a Wago Device Sphere versión 1.0.1.

El fabricante informa que no es posible usar la versión 1.0.0 después del 30/06/2025.

Detalle

Todas las instancias de este producto tienen los mismos certificados de firma JWT, en lugar de que cada uno tenga los suyos propios. Esto permite que cualquiera que posea la clave pública pueda falsificar tokens válidos y suplantar a los usuarios en todos los sistemas, comprometiendo la seguridad.

Listado de referencias
CERT@VDE (VDE-2025-057) - WAGO: Vulnerability in WAGO Device Sphere
Etiquetas