Múltiples vulnerabilidades en productos de WAGO
- Basic Controller: versiones de firmware anteriores a la 01.05.01.
- CC100: versiones de firmware personalizadas anteriores a la 04.08.01 (70) y versiones de firmware anteriores a la 04.08.01 (FW30).
- Edge Controller: versiones de firmware anteriores a la 04.08.01 (FW30) y versiones de firmware personalizadas anteriores a la 04.08.01 (70).
- PFC100 G1: versiones de firmware anteriores a la 3.10.11 (FW22 Parche 2).
- PFC100 G2: versiones de firmware anteriores a la 04.08.01 (FW30) y versiones de firmware personalizadas anteriores a la 04.08.01 (70).
- PFC200 G1: versiones de firmware anteriores a la 3.10.11 (FW22 Parche 2).
- PFC200 G2: versiones de firmware anteriores a la 04.08.01 (FW30) y versiones de firmware personalizadas anteriores a la 04.08.01 (70).
- TP600: versiones de firmware anteriores a la 04.08.01 (FW30) y versiones de firmware personalizadas anteriores a la 04.08.01 (70).
Para ver el número de modelo concreto del producto se recomienda visitar en enlace de las referencias.
CERT@VDE en coordinación con WAGO ha publicado 3 vulnerabilidades: 1 de severidad alta y 2 medias que, en caso de ser explotadas, podrían permitir comprometer la clave privada del servidor OPC UA y omitir la autenticación o descifrar los datos transmitidos, acceder a archivos de visualización estáticos o acceder al sistema de archivos local.
Actualizar a la versión de firmware 04.08.01 (FW30), 03.10.11 (FW22 Patch 2) o 01.05.01.
Para obtener el firmware personalizado más reciente, se recomienda ponerse en contacto con el soporte de WAGO.
CVE-2025-1468: un atacante remoto, no autenticado, podría obtener acceso a información confidencial, incluida la información de autenticación, cuando se utiliza el servidor CODESYS OPC UA con la política de seguridad no predeterminada Basic128Rsa15.
Se han asignado los identificadores CVE-2025-0694 y CVE-2025-2595 para las vulnerabilidades de severidad media.
