Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en switches de gestión industrial de WAGO

Fecha de publicación 09/02/2026
Identificador
INCIBE-2026-0100
Importancia
5 - Crítica
Recursos Afectados

Los siguientes modelos de switches de control industrial con firmware 2.64 o inferior:

  • 0852-1322
  • 0852-1328
Descripción

Diconio ha informado de 4 vulnerabilidades, 3 de severidad crítica y 1 alta que, en caso de ser explotadas, podrían permitir a atacantes remotos bloquear el servicio web, ejecutar código arbitrario, evadir los controles de autenticación y obtener credenciales de administrador en texto plano.

Solución

Actualizar los productos a la versión de firmware 2.65.

Detalle
  • CVE-2026-22903: un atacante remoto, no autenticado, puede enviar solicitudes HTTP manipuladas que contengan una cookie de sesión (SESSIONID) excesivamente larga. Esto puede provocar un desbordamiento del búfer de la pila en el servidor 'lighttpd', lo que hace que se bloquee y puede que también permita la ejecución de código en remoto debido a la falta de protección de la pila.
  • CVE-2026-22904: la gestión incorrecta del tamaño cuando se analizan varios campos de cookies, incluido 'TRACKID', permite a un atacante en remoto, no autenticado, enviar valores de cookies de gran tamaño y provocar un desbordamiento del búfer de la pila, lo que deriva en una condición de denegación de servicio y puede que una ejecución de código en remoto.
  • CVE-2026-22906: las credenciales de usuario se almacenan empleando cifrado AES‑ECB y una clave almacenada en el código. Un atacante remoto no autenticado que consiga el fichero de configuración puede descifrar y recuperar en texto plano los nombres de usuario y sus contraseñas, en especial cuando se combina con evitaciones de autenticación.
  • CVE-2026-22905: un atacante remoto no autenticado puede evitar la autenticación explotando una validación insuficiente de URI y empleando secuencias de salto de ruta como '/js/../cgi-bin/post.cgi', lo que le permite obtener acceso no autorizado a endpoints protegidos de CGI y descargas de configuración.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-22903 Crítica No wago
CVE-2026-22904 Crítica no wago
CVE-2026-22906 Crítica no wago
CVE-2026-22905 Alta no wago
Listado de referencias
VDE CERT (VDE-2026-004) - WAGO: Vulnerabilities in Managed Switch
Etiquetas