Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Voltronic Power y PowerShield

Fecha de publicación 02/07/2025
Identificador
INCIBE-2025-0352
Importancia
5 - Crítica
Recursos Afectados
  • Voltronic Power Viewpower: versión 1.04-24215 y anteriores;
  • Voltronic Power ViewPower Pro: versión 2.2165 y anteriores;
  • Powershield NetGuard: versión 1.04-22119 y anteriores.
Descripción

Se ha informado de 2 vulnerabilidades de severidad crítica que podrían permitir que un atacante, no autenticado, realice cambios de configuración de forma remota, lo que provocaría el apagado de los dispositivos conectados al SAI o la ejecución de código arbitrario.

Solución

Por el momento, no existe solución para Voltronic.

Powershield ha proporcionado una solución en las versiones 1.04-23292 y posteriores de NetGuard.

Detalle
  • Vulnerabilidad de tipo método o función peligrosa expuesta. Una función subyacente crítica relacionada con las gestión del SAI está expuesta en la red sin que realice una autenticación ni autorización del usuario, lo que permite a un atacante usarla para ejecutar código arbitrario inmediatamente, independientemente del estado o la presencia del SAI gestionado. Se ha asignado el identificador CVE-2022-31491 para esta vulnerabilidad.
  • Vulnerabilidad de tipo solicitud directa. Un atacante remoto, no autenticado, puede realizar cambios en el sistema, como cambiar la contraseña de administrador de la interfaz web, ver o modificar la configuración del sistema, o enumerar y apagar los dispositivos SAI conectados. Se ha asignado el identificador CVE-2022-43110 para esta vulnerabilidad.