Múltiples vulnerabilidades en productos de Hitachi Energy
Fecha de publicación 08/07/2026
Identificador
INCIBE-2026-475
Importancia
4 - Alta
Recursos Afectados
- PROMOD V versiones 1.0.10 y anteriores;
- e-mesh EMS versiones 4.1.6, 4.4.2 y 4.7.0.
Descripción
El equipo internacional de Hitachi Energy ha informado sobre dos vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían provocar una denegación de servicio, ejecución de código remoto y robo de credenciales, secuestro de sesión o acceso no autorizado.
Solución
- PROMOD V: actualizar a la versión 1.0.11 y habilitar HTTPS en el servidor Digipede;
- e-mesh EMS: actualizar NGINX a la versión 1.30.2 o la más reciente.
Detalle
- CVE-2026-10763: PROMOD V utiliza comunicación HTTP insegura en lugar de HTTPS. La vulnerabilidad se debe a la falta de compatibilidad con HTTPS por parte del servidor Digipede de terceros.
- CVE-2026-42945: NGINX Plus y NGINX Open Source utilizados en e-mesh EMS presentan una vulnerabilidad en el módulo ngx_http_rewrite_module. Esta vulnerabilidad se produce cuando la directiva rewrite va seguida de una directiva rewrite, if o set y una captura de expresión regular compatible con Perl (PCRE) sin nombre (por ejemplo, $1, $2) con una cadena de reemplazo que incluye un signo de interrogación (?). Un atacante no autenticado, junto con condiciones fuera de su control, puede explotar esta vulnerabilidad enviando solicitudes HTTP manipuladas. Esto puede provocar un desbordamiento de búfer en el proceso de trabajo de NGINX, lo que conlleva un reinicio. Además, los atacantes pueden ejecutar código en sistemas con la aleatorización del espacio de direcciones (ASLR) deshabilitada o cuando el atacante puede eludir ASLR.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-10763 | Alta | No | Hitachi Energy |
| CVE-2026-42945 | Alta | No | Hitachi Energy |
Listado de referencias



