Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en V-SFT de FUJI ELECTRIC
  • Desbordamiento de búfer en productos de Hitachi Energy

Múltiples vulnerabilidades en V-SFT de FUJI ELECTRIC

Fecha14/05/2025
Importancia4 - Alta
Recursos Afectados

V-SFT-6, versión 6.2.5.0 y anteriores.

Descripción

Michael Heinzl ha informado de 12 vulnerabilidades, todas de severidad alta, que afectan a V-SFT de FUJI ELECTRIC y que, en caso de ser explotadas, podrían finalizar el sistema de forma no prevista (ABEND), divulgar información y/o ejecutar código arbitrario.

Solución

Actualizar el producto a la última versión disponible.

Detalle

Las vulnerabilidades son de los siguientes tipos:

  • Liberación del puntero sin estar al inicio del búfer: CVE-2025-47749.
  • Escritura fuera de límites: CVE-2025-47750, CVE-2025-47751, CVE-2025-47752, CVE-2025-47753, CVE-2025-47754, CVE-2025-47755, CVE-2025-47756 y CVE-2025-47757.
  • Desbordamiento de búfer basado en pila: CVE-2025-47758, CVE-2025-47759 y CVE-2025-47760.

Desbordamiento de búfer en productos de Hitachi Energy

Fecha14/05/2025
Importancia4 - Alta
Recursos Afectados
  • Relion 670/650/SAM600-IO series: versiones 2.2.2.0 hasta la 2.2.2.6 (no incluida);
  • Relion 670/650/SAM600-IO series: versiones 2.2.3.0 hasta la 2.2.3.7 (no incluida);
  • Relion 670/650/SAM600-IO series: versiones 2.2.4.0 hasta la 2.2.4.4 (no incluida);
  • Relion 670/650/SAM600-IO series: versiones 2.2.5.6 hasta la 2.2.5.6 (no incluida);
  • Relion 670/650/SAM600-IO series: versión 2.2.0.x;
  • Relion 670/650/SAM600-IO series: versión 2.2.1.x.
Descripción

El PSIRT de Hitachi Energy ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante reiniciar el dispositivo y causar una condición de denegación de servicio (DoS).

Solución

Hitachi Energy identificó las siguientes soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo:

  • Relion 670 series versiones 2.2.2.x hasta la 2.2.2.6 (no incluida): actualizar a la versión 2.2.2.6.
  • Relion 670 series versiones 2.2.3.x hasta la 2.2.3.7 (no incluida): actualizar a la versión 2.2.3.7.
  • Relion 670/650 series versiones 2.2.4.x hasta la 2.2.4.4 (no incluida): actualizar a la versión 2.2.4.4.
  • Relion 670/650/SAM600-IO series versiones 2.2.5.6 hasta la 2.2.5.6 (no incluida): actualizar a la versión 2.2.5.6.
  • Relion 670 series versiones 2.2.0 (todas las revisiones) y Relion 670/650/SAM600-IO series versión 2.2.1 (todas las revisiones): aplicar las mitigaciones generales incluídas en el aviso de las referencias.
Detalle

Vulnerabilidad en la validación de entrada de los mensajes GOOSE en la que los valores fuera de rango recibidos y procesados por el IED provocan un reinicio del dispositivo. Para que un atacante pueda explotar la vulnerabilidad, es necesario configurar bloques de recepción GOOSE.

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante reiniciar el dispositivo y causar una condición de denegación de servicio (DoS).

Se ha asignado el identificador CVE-2023-4518 para la vulnerabilidad reportada.