Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de SCI y una actualización

Índice

  • Múltiples vulnerabilidades en DP-10iN-100-MU de DuraComm Corporation
  • Ejecución remota de código en Provisioning Manager de Lantronix
  • Evasión de autenticación en Busch-Welcome 2 wire de ABB
  • Múltiples vulnerabilidades en productos de Schneider Electric
  • [Actualización 23/07/2025] Múltiples vulnerabilidades en productos Schneider Electric

Múltiples vulnerabilidades en DP-10iN-100-MU de DuraComm Corporation

Fecha23/07/2025
Importancia4 - Alta
Recursos Afectados

SPM-500 DP-10iN-100-MU: Versión 4.10 y anteriores.

Descripción

Brandon Vincent, del Servicio Público de Arizona, ha informado sobre 3 vulnerabilidades de severidad alta que podrían permitir a un atacante revelar información confidencial o provocar una condición de denegación de servicio.

Solución

DuraComm recomienda a los usuarios actualizar a la versión 4.10A. 

Detalle
  • CVE-2025-41425: el producto afectado es vulnerable a un ataque de secuencias de comandos entre sitios (XSS). Esto podría permitir que un atacante impida a usuarios legítimos acceder a la interfaz web.
  • CVE-2025-48733: el producto afectado carece de controles de acceso para una función que debería requerir autenticación de usuario. Esto podría permitir que un atacante reinicie el dispositivo repetidamente.
  • CVE-2025-53703: el producto afectado transmite datos confidenciales sin cifrado a través de un canal que podría ser interceptado por atacantes.

Ejecución remota de código en Provisioning Manager de Lantronix

Fecha23/07/2025
Importancia4 - Alta
Recursos Afectados

Provisioning Manager: versiones 7.10.2 y anteriores.

Descripción

Robert McLellan ha indormado sobre una vulnerabilidad de severidad alta que podría permitir a un atacante realizar un ataque Cross-Site Scripting, lo que podría resultar en la ejecución remota de código.

Solución

Lantronix ha proporcionado una solución y recomienda a los usuarios actualizar a v7.10.4 o posterior.

Detalle

CVE-2025-7766: el producto afectado es vulnerable a ataques de entidad externa XML (XXE) en archivos de configuración suministrados por dispositivos de red, lo que podría permitir una ejecución remota de código no autenticado en hosts con Provisioning Manager instalado.

Evasión de autenticación en Busch-Welcome 2 wire de ABB

Fecha23/07/2025
Importancia4 - Alta
Recursos Afectados
  • Switch Actuator 4 DU, número de modelo 83330, todas las versiones de firmware;
  • Switch Actuator, door/light 4 DU, número de modelo 83330-500, todas las versiones de firmware.
Descripción

ABB informa de 1 vulnerabilidad de severidad alta que, en caso de ser explotada, permitiría a un atacante tener acceso físico no autorizado al edificio donde el producto está instalado.

Solución

Realizar, lo antes posible, las siguientes acciones en las instalaciones en las que el Sistema Busch-Welcome está instalado:

  • En lo que el Sistema Busch-Welcome se está ejecutando cambiar el modo del dispositivo de "Door-Open" (puerta abierta) a "Light" (luz), esperar un segundo y volver al modo "Door-Open".
  • Reiniciar el Sistema Busch-Welcome desconectándolo y volviéndolo a conectar de nuevo a la red eléctrica.

De esta forma, el sistema se recalibrará en el reinicio y corregirá automáticamente la configuración errónea.

Detalle

El WELCOME_DOOR_ACTUATOR de Busch-Welcome tiene como funciones o bien encender una luz en la puerta de entrada o bien abrir dicha puerta. Su configuración de fábrica está en modo compatibilidad y no es reconfigurado al finalizar la producción. La vulnerabilidad del producto solo afecta en edificios con más de una entrada. Un atacante que logre explotar la vulnerabilidad tendrá acceso físico a las instalaciones en las que se encuentra el dispositivo. Para su explotación es preciso que el atacante tenga acceso físico al dispositivo.

Se ha asignado el identificador CVE-2025-7705 a esta vulnerabilidad.

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha23/07/2025
Importancia5 - Crítica
Recursos Afectados
  • Operación de EcoStruxure Power (EPO): 2022 CU6 y anteriores;
  • Operación de energía de EcoStruxure (EPO): 2024 CU1 y anteriores;
  • EcoStruxure IT Data Center Expert: versiones v8.3 y anteriores.
Descripción

Jaggar Henry y Jim Becher, de KoreLogic, Inc., y Schneider Electric han reportado 12 vulnerabilidades: 1 de severidad media, 8 altas y 3 medias que podrían provocar una pérdida de la funcionalidad del sistema, acceso no autorizado a las funciones del sistema o interrumpir las operaciones y acceder a los datos del sistema.

Solución
  • EcoStruxure Power Operation 2024 CU2 incluye correcciones para estas vulnerabilidades y está disponible para descargar.
  • La versión 9.0 de EcoStruxure IT Data Center Expert incluye correcciones para estas vulnerabilidades y está disponible a pedido en el Centro de atención al cliente de Schneider Electric.
Detalle
  • CVE-2025-50121: neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo, que podría provocar la ejecución remota de código, no autenticado, al crear una carpeta maliciosa mediante la interfaz web HTTP cuando está habilitada. HTTP está deshabilitado de forma predeterminada.
  • CVE-2025-50122: entropía insuficiente, que podría provocar el descubrimiento de la contraseña root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
  • CVE-2025-50123: control inadecuado en la generación de código ('inyección de código'), que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor a través de una consola y se explota la entrada del nombre de host.
  • CVE-2025-50124: gestión de privilegios inadecuada que podría provocar una escalada de privilegios cuando se accede al servidor mediante una cuenta privilegiada mediante una consola y mediante la explotación de un script de configuración.
  • CVE-2023-50447: la versión 10.1.0 de Pillow permite la ejecución de código arbitrario de PIL.ImageMath.eval mediante el parámetro de entorno. Esta vulnerabilidad es diferente de la CVE-2022-22817, que afecta al parámetro de expresión.
  • CVE-2022-45198: las versiones de Pillow anteriores a 9.2.0 manejan incorrectamente datos GIF altamente comprimidos.
  • CVE-2023-5217: un desbordamiento del búfer de montón en la codificación vp8 en libvpx, utilizado por versiones de Google Chrome anteriores a 117.0.5938.132 y libvpx versión 1.13.1, podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
  • CVE-2023-35945: fuga de memoria que que podria derivar en una denegación de servicio por agotamiento de la memoria.
  • CVE-2023-44487: el protocolo HTTP/2 permite una denegación de servicio porque la cancelación de la solicitud puede restablecer muchos flujos rápidamente.

[Actualización 23/07/2025] Múltiples vulnerabilidades en productos Schneider Electric

Fecha10/06/2025
Importancia4 - Alta
Recursos Afectados
  • Modicon Controllers M241/M251;
  • Modicon Controllers M262;
  • Modicon Controllers M258 / LMC058;
  • EVLink WallBox.

Para conocer las versiones afectadas de los dispositivos Modicon Controllers, se recomienda consultar los enlaces de las referencias.

Descripción

Los productos de Schneider Electric están afectados por 10 vulnerabilidades, 5 de ellas de severidad alta y las otras 5 media. Su explotación podría permitir una Denegación de Servicio, la modificación de parámetros del servidor web y la lectura y escritura de datos y ficheros en el sistema, entre otros. 

Solución

Para las siguientes versiones de Modicon Controllers el fabricante ha realizado una actualización que soluciona los problemas:

Se recomienda emplear la característica Controller Assistant de EcoStruxure™ Automation Expert – Motion V24.1 para actualizar el firmware de los productos y reiniciarlo.

Para los productos Modicon Controllers M258 / LMC058 el fabricante está trabajando en una actualización que solucione estos problemas. Mientras tanto, como medidas de mitigación se recomienda realizar las siguientes acciones para reducir el riesgo de explotación:

  • Utilizar los controladores y dispositivos únicamente en un entorno protegido para minimizar la exposición a la red y asegurarse de que no están accesibles desde Internet o redes no confiables.
  • Asegurarse de utilizar un gestor de usuarios y contraseñas. Los privilegios de los usuarios están habilitados por defecto y se les obliga crear una contraseña fuerte en el primer acceso.
  • Desactivar el servidor web después de usarlo cuando no se vaya a utilizar.
  • Utilizar enlaces de comunicación cifrados.
  • Realizar una segmentación de red y emplee un cortafuegos para bloquear todo el acceso no autorizado a los puertos 80/HTTP y 443/HTTPs.
  • En caso de realizar un acceso remoto, emplear túneles VPN.
  • Consultar la guía “Cybersecurity Guidelines for EcoStruxure Machine Expert, Modicon and PacDrive Controllers and Associated Equipment” para proteger mejor el equipo.

Para los usuarios de EVLink WallBox, se informa que este producto alcanzó el final de su vida útil (EOL) y no tiene mantenimiento. Se recomienda realizar las siguientes acciones para reducir el riesgo de exposición:

  • Realizar una segmentación de red y configure un cortafuegos para bloquear todo el tráfico no autorizado a los puertos HTTP.
  • Verificar los registros de acceso periódicamente.
  • Aplicar una política de contraseñas seguras.
  • Debido a que el producto está al final de su vida útil, se recomienda valorar su sustitución por otro producto que sí tiene mantenimiento como EVLink Pro AC
Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-3898: validación incorrecta de entrada. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía una solicitud HTTPS al servidor web que contenga tipos de datos no válidos.
  • CVE-2025-3112: consumo de recursos incontrolado. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía una cabecera HTTPS Content-Length manipulada, al servidor web.
  • CVE-2025-3116: validación incorrecta de entrada. Podría provocar una Denegación de Servicio (DoS) cuando un usuario malicioso autenticado envía al controlador una solicitud HTTPS especial que contiene un cuerpo de datos mal formado.
  • CVE-2025-5740: limitación incorrecta  de nombre de ruta a un directorio restringido («Path Traversal»). Podría provocar una escritura arbitraria de archivos cuando un usuario, no autenticado, modifica la ruta de ficheros en el servidor web.
  • CVE-2025-5743: neutralización incorrecta de elementos especiales empleados en un comando del Sistema Operativo («OS Command Injection»). Podría permitir el control remoto de la estación de carga cuando un usuario autenticado modifica los parámetros de configuración en el servidor web.

El resto de vulnerabilidades y su descripción se pueden consultar en los enlaces de las referencias.