Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Ausencia de autenticación en ProGauge MagLink LX de Dover Fueling Solutions
  • Múltiples vulnerabilidades en Smart Editor de Fuji Electric
  • Múltiples vulnerabilidades en GMWin 4 de LS Electric

Ausencia de autenticación en ProGauge MagLink LX de Dover Fueling Solutions

Fecha18/06/2025
Importancia5 - Crítica
Recursos Afectados
  • ProGauge MagLink LX 4: versiones anteriores a la 4.20.3;
  • ProGauge MagLink LX Plus: versiones anteriores a la 4.20.3;
  • ProGauge MagLink LX Ultimate: versiones anteriores a la 5.20.3.
Descripción

Souvik Kandar, de Microsec (microsec.io), ha informado sobre una vulnerabilidad de severidad crítica que podría permitir que un atacante obtenga el control del dispositivo de monitoreo, manipule las operaciones de abastecimiento de combustible, elimine configuraciones del sistema o instale malware.

Solución

Dover Fueling Solutions recomienda a los usuarios actualizar sus dispositivos ProGauge MagLink a la versión 4.20.3 o posterior para los modelos MagLink LX 4 y MagLink LX Plus. La actualización se puede descargar desde el sitio web de Dover Fueling Solutions.

Para los dispositivos MagLink LX Ultimate, Dover Fueling Solutions recomienda a los usuarios actualizar a la versión 5.20.3 o posterior.

Detalle

El dispositivo expone una interfaz de Marco de Comunicación de Destino (TCF) no documentada ni autenticada en un puerto específico. Se pueden crear, eliminar o modificar archivos, lo que podría provocar la ejecución remota de código. 

Se ha asignado el identificador CVE-2025-5310 para esta vulnerabilidad.

Múltiples vulnerabilidades en Smart Editor de Fuji Electric

Fecha18/06/2025
Importancia4 - Alta
Recursos Afectados

Smart Editor: versiones 1.0.1.0 y anteriores.

Descripción

Kimiya, en colaboración con Trend Micro Zero Day Initiative, ha informado sobre 3 vulnerabilidades de severidad alta que podrían permitir a un atacante ejecutar código arbitrario.

Solución

Fuji Electric recomienda a los usuarios actualizar a Smart Editor v1.0.2.0 o posterior.

Detalle

Las vulnerabilidades identificadas podrían permitir que un atacante ejecute código arbitrario. El origen de cada vulnerabilidad es:

  • CVE-2025-32412: lectura fuera de límites;
  • CVE-2025-41413: escritura fuera de límites;
  • CVE-2025-41388: desbordamiento del búfer basado en pila.

Múltiples vulnerabilidades en GMWin 4 de LS Electric

Fecha18/06/2025
Importancia4 - Alta
Recursos Afectados

GMWin 4: versión 4.18.

Descripción

Michael Heinzl ha informado de tres vulnerabilidades de severidad alta que podrían permitir a un atacante revelar información o ejecutar código arbitrario.

Solución

El GMWin 4 de LS Electric ha sido descontinuado y ya no está disponible para servicio. LS Electric recomienda a los usuarios usar la serie XGT como reemplazo.

Detalle

En el análisis de archivos PRJ hay una vulnerabilidad de desbordamiento de búfer en el montón y las otras dos de escritura fuera de límites. 

Los problemas se deben a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar diversos problemas de corrupción de memoria en la aplicación, como la lectura y escritura más allá del límite de las estructuras de datos asignadas.

Se han asignado los identificadores  CVE-2025-49848, CVE-2025-49849 y CVE-2025-49850 para estas vulnerabilidades.