Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Fecha de publicación 07/04/2026
Identificador
INCIBE-2026-260
Importancia
5 - Crítica
Recursos Afectados

Las versiones de los siguientes productos están afectadas:

  • GENESIS64 : versión 10.97.3 y anteriores;
  • ICONICS Suite : versión 10.97.3 y anteriores;
  • MobileHMI : versión 10.97.3 y anteriores;
  • Hyper Historian : versión 10.97.3 y anteriores;
  • AnalytiX : versión 10.97.3 y anteriores;
  • MC Works64 : todas las versiones;
  • GENESIS : versión 11.02 y anteriores.
Descripción

Mitsubishi Electric ha informado sobre 4 vulnerabilidades, 2 críticas y 2 medias que, en caso de ser explotadas, podrían permitir a un atacante revelar las credenciales de SQL Server, manipular o destruir datos del servidor y provocar posibles denegaciones de servicio (DoS).

Solución

No hay ninguna actualización pendiente. Se recomienda seguir las indicaciones de mitigación propuestas por Mitsubishi Electric. Algunas de estas recomendaciones son:

  1. Utilizar la autenticación de Windows en lugar de la autenticación SQL.
  2. Configurar los ordenadores en los que esté instalado el producto afectado para que solo un administrador pueda iniciar sesión.
  3. Utilizar los ordenadores con el producto afectado instalado en la red local (LAN) y bloquear el inicio de sesión remoto desde redes, hosts no fiables y usuarios que no sean administradores.
  4. Restringir el acceso físico al ordenador en el que esté instalado el producto afectado y a la red a la que esté conectado dicho ordenador para evitar el acceso físico no autorizado.
Detalle
  • CVE-2025-14815: vulnerabilidad presente cuando la función de almacenamiento en caché local mediante SQLite está habilitada y se utiliza la autenticación SQL para la autenticación de SQL Server. Las credenciales de SQL Server se almacenan en texto sin cifrar dentro del archivo SQLite local, lo que podría dar lugar a un atacante a leer información confidencial y filtrar dicha información.
  • CVE-2025-14816: vulnerabilidad presente en la función Hyper Historian Splitter, cuando se utiliza la autenticación SQL para la autenticación de SQL Server, debido a que las credenciales se muestran en texto sin cifrar en la interfaz gráfica de usuario. Esto podría permitir a un atacante acceder a información confidencial, divulgar o manipular dicha información y provocar denegaciones de servicio (DoS).
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-14815 Crítica No Mitsubishi Electric
CVE-2025-14816 Crítica No Mitsubishi Electric
Listado de referencias
Multiple Information Disclosure, Tampering, and Denial-of-Service Vulnerabilities in GENESIS64, ICONICS Suite, MobileHMI, Hyper Historian, AnalytiX, MC Works64, and GENESIS
Etiquetas