Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Phoenix Contact

Fecha de publicación 14/10/2025
Identificador
INCIBE-2025-0558
Importancia
4 - Alta
Descripción

Phoenix Contact ha publicado 5 vulnerabilidades: 2 de severidad alta y 3 de severidad media que de ser explotadas podrían permitir a un atacante realizar una denegación de servicio (DoS) o una inyección de código.

Solución
  • Actualizar el firmware a la versión 1.7.4 (CVE2025-41699).
  • A partir de la versión VC:07, todos los dispositivos nuevos incluirán actualizaciones de firmware que solucionan cuatro
    vulnerabilidades (CVE-2025-41704, CVE-2025-41705, CVE-2025-41706 y CVE-2025-41707).
Detalle

Las vulnerabilidades de severidad crítica se detallan a continuación:

  • CVE-2025-41699: un atacante remoto con privilegios bajos que disponga de una cuenta para la gestión basada en web podría cambiar la configuración del sistema para realizar una inyección de comandos como root, lo que provocaría una pérdida total de confidencialidad, disponibilidad e integridad debido a un control inadecuado de la generación de código.
  • CVE-2025-41703: un atacante remoto, no autenticado, puede provocar una denegación de servicio desactivando la salida del SAI mediante un comando 'Modbus'.
CVE
Explotación
No
Fabricante
phoenixcontact
Identificador CVE
CVE-2025-41699
Severidad
Alta
Explotación
No
Nuevo Fabricante
phoenixcontact (191883)
Identificador CVE
CVE-2025-41703
Severidad
Alta
Listado de referencias
VDE-2025-072: Phoenix Contact: Security Advisory for QUINT4-UPS EIP
VDE-2025-074: Phoenix Contact: Security Advisory for CHARX SEC-3xxx charging controllers
Etiquetas