Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Violación de mínimo privilegio en funciones de comunicación de OMRON

Fecha de publicación 14/07/2025
Identificador
INCIBE-2025-0376
Importancia
4 - Alta
Recursos Afectados

Controlador de automatización de máquinas, lote n.° hasta 13725 (13 de julio de 2025), series:

  • NJ:
    • NJ101-[][][][] Versión 1.67.00 o inferior.
    • NJ301-1[]00 Ver.1.67.00 o inferior.
    • NJ501-1[]00 Ver.1.67.02 o inferior.
    • NJ501-1[]20 Ver.1.68.01 o inferior.
    • NJ501-1340 Ver.1.67.00 o inferior.
    • NJ501-4[][][] Versión 1.67.00 o inferior.
    • NJ501-5300 Ver.1.67.01 o inferior.
    • NJ501-R[]00 Ver.1.67.01 o inferior.
    • NJ501-R[]20 Ver.1.67.00 o inferior.
  • NX:
    • NX102-[][][][] Ver.1.68.01 o inferior.
    • NX1P2-[][][][][][] Ver.1.64.09 o inferior.
    • NX1P2-[][][][][][]1 Versión 1.64.09 o inferior.
    • NX502-[][][][] Ver.1.68.01 o inferior.
    • NX701-[][][][] Ver.1.35.09 o inferior.

Software de estudio Sysmac:

  • SYSMAC-SE2[][][]: todas las versiones.
Descripción

Tamir Ariel, de Microsoft, ha descubierto esta vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante no autenticado acceder a los productos afectados y ejecutar operaciones arbitrarias.

Solución

Actualizar el producto a la última versión.

Acceder al aviso del fabricante en las referencias para saber cómo consultar la versión del producto.

Detalle

La función de comunicación entre los controladores NJ/NX-series Machine Automation y Sysmac Studio Software tiene una vulnerabilidad de violación de mínimo privilegio, en caso de ser explotada, un atacante podría obtener acceso no autorizado y ejecutar en remoto código no autorizado en los productos del controlador.

Se ha asignado el identificador CVE-2025-1384 a esta vulnerabilidad.

CVE
Explotación
No
Fabricante
Identificador CVE
CVE-2025-1384
Severidad
Alta