[Actualización 02/07/2025] Múltiples vulnerabilidades en PiCtory de Pilz industrial PC IndustrialPI
Pilz Software PiCtory, versiones anteriores a la 2.12.
[Actualización 02/07/2025]
- IndustrialPI 4 con Firmware Bullseye, versión 2024-08 y anteriores;
- IndustrialPI 4 con IndustrialPI webstatus, versiones anteriores a 2.4.6.
CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de severidad crítica y 1 media que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).
Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes 'apt'.
Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos 'sudo apt update && sudo apt upgrade -y'.
Para comprobar la versión del paquete PiCtory, introducir el comando 'dpkg -l | grep pictory'.
Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.
[Actualización 02/07/2025]
Para el producto IndustrialPI 4 con IndustrialPI webstatus actualizar su paquete a la versión 2.4.6 usando el gestor de paquetes 'apt'.
Para el producto IndustrialPI 4 con Firmware Bullseye seguir las indicaciones del PDF de soluciones del fabricante (acceso con registro).
Las vulnerabilidades de severidad crítica son:
- CVE-2025-32011: PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.
- CVE-2025-35996: en Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-36558 y su detalle puede consultarse en las referencias.
[Actualización 02/07/2025]
Las dos nuevas vulnerabilidades críticas son:
- CVE-2025-41648: Un atacante remoto no autenticado puede eludir el registro a la aplicación web del dispositivo afectado y acceder y modificar las configuraciones disponibles en IndustrialPI.
- CVE-2025-41656: Un atacante remoto no autenticado puede ejecutar comandos arbitrarios en los dispositivos afectados con grandes privilegios porque la autenticación para el servidor Node_RED no está configurada por defecto.