Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de B&R

Fecha de publicación 12/06/2026
Identificador
INCIBE-2026-418
Importancia
4 - Alta
Recursos Afectados
  • Linux for B&R, versión 12 y anteriores;
  • APROL versiones anteriores a APROL-AutoYaST-DVD-V4.4-010.10.260602;
  • X20EDS410, todas las versiones.
Descripción

B&R ha publicado 5 vulnerabilidades de severidad alta presentes en el kernel Linux y componentes de terceros incluidos en diversos productos de la compañía. La explotación de estas vulnerabilidades podría permitir a un atacante local con privilegios bajos escalarlos en el sistema afectado hasta obtener control total del dispositivo. Adicionalmente, algunas de las vulnerabilidades podrían provocar corrupción de memoria, denegación de servicio o filtración de información sensible.

Solución

El fabricante recomienda aplicar las actualizaciones de seguridad correspondientes en cuanto estén disponibles.

Para el producto APROL ya se dispone de la versión corregida APROL-AutoYaST-DVD-V4.4-010.10.260602.

Para el resto de productos afectados, las versiones corregidas se encuentran pendientes de publicación.

Mientras tanto, se recomienda aplicar medidas de mitigación como la restricción del acceso local al sistema, la aplicación de principios de mínimo privilegio y la deshabilitación de módulos del kernel afectados cuando sea posible sin impactar la operativa del sistema.

Detalle
  • CVE-2026-31431: vulnerabilidad en el subsistema crypto del kernel Linux (algif_aead) debida a una gestión incorrecta de la transferencia de recursos entre espacios de memoria. Un atacante local con bajos privilegios podría explotar esta condición para elevar privilegios en el sistema afectado mediante la manipulación de estructuras de memoria del kernel.

  • CVE-2026-43284: vulnerabilidad de tipo escritura arbitraria en memoria en el subsistema XFRM/ESP del kernel Linux. La incorrecta gestión de búferes compartidos puede permitir a un atacante local provocar escritura en ubicaciones de memoria controladas, facilitando la ejecución de código y la escalada de privilegios.

  • CVE-2026-46333: vulnerabilidad de gestión incorrecta de privilegios en el subsistema ptrace del kernel Linux. Un atacante local podría aprovechar condiciones de carrera en la comprobación de permisos para acceder a información sensible de procesos y escalar privilegios.

  • CVE-2026-46300: vulnerabilidad de escritura fuera de límites en la gestión de estructuras skb del kernel Linux. La incorrecta propagación de marcadores de fragmentos compartidos puede permitir a un atacante local realizar escrituras arbitrarias en memoria del kernel y escalar privilegios.

  • CVE-2026-43494: vulnerabilidad de doble liberación de memoria en el subsistema RDS del kernel Linux. Un fallo en la gestión de contadores de referencias durante operaciones de zero-copy puede provocar corrupción de memoria y permitir la escalada de privilegios a nivel local.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-31431 Alta No B&R
CVE-2026-43284 Alta No B&R
CVE-2026-46333 Alta No B&R
CVE-2026-46300 Alta No B&R
CVE-2026-43494 Alta No B&R
Listado de referencias
Impact of Linux Kernel vulnerabilities on B&R products
XZ Utils vulnerability impacting B&R Products
Etiquetas