Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Predicción de contraseñas en variTRON de Jumo

Fecha de publicación 11/11/2025
Identificador
INCIBE-2025-0622
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores del firmware 9.0.2.5 en los productos: 

  • variTRON300;
  • variTRON500;
  • variTRON500 touch.
Descripción

CERT@VDE en coordinación con JUMO GmbH & Co. han informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante obtener acceso de administrador a la interfaz UART y SSH.

Solución

Actualizar los productos afectados a la versión 9.0.2.5.

Detalle

CVE-2025-41731: vulnerabilidad en el algoritmo de generación de contraseñas de la interfaz de depuración de variTRON. El generador de números pseudoaleatorios (PRNG) se inicializa con la marca de tiempo Unix actual, por lo que la contraseña resultante es predecible. Con esta contraseña, se puede obtener acceso de administrador a la interfaz UART y SSH.
El impacto es limitado, ya que la interfaz de depuración debe ser habilitada manualmente por un usuario autorizado y se desactivará automáticamente tras el siguiente reinicio del dispositivo.

CVE
Explotación
No
Nuevo Fabricante
JUMO
Identificador CVE
CVE-2025-41731
Severidad
Alta
Listado de referencias
Jumo: Predictable debug-interface password in variTRON series
Etiquetas