Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Rutas de archivo sin comillas en SANUPS de SANYO DENKI CO., LTD.

Fecha de publicación 25/03/2026
Identificador
INCIBE-2026-223
Importancia
4 - Alta
Recursos Afectados
  • SOFTWARE SANUPS INDEPENDIENTE versión 1.0.1 a versión 1.1.4;
  • SOFTWARE SANUPS versión 2.0.0 a versión 2.0.2 y versión 1.0.0 a versión 1.1.4.
Descripción

Kazuma Matsumoto, de GMO Cybersecurity by IERAE, Inc., ha informado sobre una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.

Solución

Actualizar el software a la última versión:

  • Para SANUPS SOFTWARE STANDALONE versión 1.0.1 y de la versión 1.1.0 a la versión 1.1.4: SOFTWARE SANUPS INDEPENDIENTE versión 1.1.5.
  • Para el SOFTWARE SANUPS versión 2.0.0 a versión 2.0.2: SOFTWARE SANUPS versión 2.0.3.
  • Para las versiones de SANUPS SOFTWARE desde la 1.0.0 hasta la 1.1.4, sustituir por la versión 3.0.1.
Detalle
  • CVE-2026-33253: el producto afectado registra los servicios de Windows con rutas de archivo sin comillas. Un usuario con permiso de escritura en el directorio raíz de la unidad del sistema puede ejecutar código arbitrario con SYSTEM privilegios.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-33253 Alta No SANYO DENKI CO
Listado de referencias
SANYO DENKI SANUPS SOFTWARE registers Windows services with unquoted file paths
Etiquetas