Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Seis nuevos avisos de SCI

Índice

  • Limitación incorrecta de ruta en DIAView de Delta Electronics
  • Ausencia de autenticación en ARC Solo de Burk Technology
  • Ausencia de autenticación en productos de Packet Power
  • Múltiples vulnerabilidades en EG4 Inverters de EG4 Electronics
  • Dependencia de componentes vulnerables en productos de Johnson Controls
  • Validación incorrecta de certificados en aplicaciones móviles de Dreame Technology

Limitación incorrecta de ruta en DIAView de Delta Electronics

Fecha08/08/2025
Importancia5 - Crítica
Recursos Afectados

DIAView: versiones 4.2.0.0.

Descripción

hir0ot, en colaboración con Trend Micro Zero Day Initiative, ha informado sobre una vulnerabilidad de severidad crítica que podría permitir que un atacante remoto lea o escriba archivos en el dispositivo afectado.

Solución

Delta Electronics recomienda a los usuarios actualizar a DIAView v4.3.0 o posterior.

Detalle

CVE-2025-53417: vulnerabilidad de recorrido de ruta, que puede permitir a un atacante leer o escribir archivos de forma remota en el sistema.

Ausencia de autenticación en ARC Solo de Burk Technology

Fecha08/08/2025
Importancia5 - Crítica
Recursos Afectados

ARC Solo: versiones anteriores a la v1.0.62.

Descripción

Souvik Kandar, de MicroSec, ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante obtener acceso al dispositivo, bloquear a usuarios autorizados o interrumpir las operaciones.

Solución

Burk Technology recomienda a los usuarios actualizar sus dispositivos a la versión 1.0.62 o posterior. La actualización se puede descargar desde el sitio web de Burk Technology.

Detalle

CVE-2025-5095: El mecanismo de cambio de contraseña del dispositivo puede utilizarse sin los procedimientos de autenticación adecuados, lo que permite a un atacante tomar el control del dispositivo. Una solicitud de cambio de contraseña puede enviarse directamente al endpoint HTTP del dispositivo sin proporcionar credenciales válidas. El sistema no aplica la autenticación ni la validación de sesión adecuadas, lo que permite que el cambio de contraseña se realice sin verificar la legitimidad de la solicitud.

Ausencia de autenticación en productos de Packet Power

Fecha08/08/2025
Importancia5 - Crítica
Recursos Afectados
  • EMX: versiones anteriores a la 4.1.0;
  • EG: versiones anteriores a 4.1.0.
Descripción

Anthony Rose y Jacob Krasnov, de BC Security, han informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante obtener acceso completo al dispositivo sin autenticación.

Solución

Packet Power recomienda lo siguiente:

  • Actualizar los productos afectados a la versión 4.1.0 o posterior.
  • Aislar los dispositivos siempre que sea posible.
Detalle

CVE-2025-8284: de forma predeterminada, la interfaz web de monitoreo y control de potencia de paquetes no implementa mecanismos de autenticación. Esta vulnerabilidad podría permitir que usuarios no autorizados accedan y manipulen las funciones de monitoreo y control.

Múltiples vulnerabilidades en EG4 Inverters de EG4 Electronics

Fecha08/08/2025
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de:

  • EG4 12kPV;
  • EG4 18kPV;
  • EG4 Flex 21;
  • EG4 Flex 18;
  • EG4 6000XP;
  • EG4 12000XP;
  • EG4 GridBoss.
Descripción

Anthony Rose, de BC Security, ha informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. la explotación exitosa de estas vulnerabilidades podría permitir a un atacante interceptar y manipular datos críticos, instalar firmware malicioso, secuestrar el acceso al dispositivo y obtener control no autorizado sobre el sistema.

Solución

EG4 ha reconocido las vulnerabilidades y está trabajando activamente para solucionarlas, incluyendo nuevo hardware cuyo lanzamiento está previsto para el 15 de octubre de 2025. Hasta entonces, EG4 supervisará activamente todos los sistemas instalados y trabajará con los usuarios afectados caso por caso si se observan anomalías.

Detalle
  • CVE-2025-46414: el producto afectado no limita el número de intentos para introducir el PIN correcto de un producto registrado, lo que podría permitir que un atacante obtenga acceso no autorizado mediante ataques de fuerza bruta si posee un número de serie válido del dispositivo. Esta vulnerabilidad se corrigió en una actualización del servidor el 6 de abril de 2025.
  • CVE-2025-53520: el producto afectado permite descargar actualizaciones de firmware desde el sitio web de EG4, transferirlas mediante llaves USB, instalarlas a través del Centro de Monitoreo de EG4 (interfaz remota conectada a la nube) o mediante una conexión serial, y puede instalar estos archivos sin comprobaciones de integridad. El formato de archivo TTComp utilizado para el firmware no está cifrado y puede descomprimirse y modificarse sin ser detectado.
  • CVE-2025-52586: El tráfico de comandos MOD3 entre la aplicación de monitorización y el inversor se transmite en texto plano, sin cifrado ni ofuscación. Esta vulnerabilidad podría permitir que un atacante con acceso a una red local intercepte, manipule, reproduzca o falsifique datos críticos, como operaciones de lectura/escritura de voltaje, corriente y configuración de potencia, estado operativo, alarmas, telemetría, reinicio del sistema o comandos de control del inversor, lo que podría interrumpir la generación de energía o reconfigurar los ajustes del inversor.

Se ha asignado el identificador CVE-2025-47872 para la vulnerabilidad de severidad media.

Dependencia de componentes vulnerables en productos de Johnson Controls

Fecha08/08/2025
Importancia4 - Alta
Recursos Afectados
  • FX80: FX 14.10.10;
  • FX80: FX 14.14.1;
  • FX90: FX 14.10.10;
  • FX90: FX 14.14.1.
Descripción

Johnson Controls ha informado sobre una vulnerabilidad que podría permitir a un atacante comprometer los archivos de configuración del dispositivo.

Solución

Johnson Controls recomienda a los usuarios actualizar a la última versión:

  • Para los sistemas que ejecutan la versión 14.10.10, aplique el parche 14.10.11 desde el portal de software.
  • Para los sistemas que ejecutan la versión 14.14.1, aplique el parche 14.14.2 desde el portal de software.
  • Nota: FX 14.10.10 contiene Niagara 4.10u10.
  • Nota: FX 14.14.1 contiene Niagara 4.14u1.
Detalle

CVE-2025-43867: el producto afectado es vulnerable a un componente de terceros vulnerable, que podría permitir a un atacante comprometer los archivos de configuración del dispositivo.

Validación incorrecta de certificados en aplicaciones móviles de Dreame Technology

Fecha08/08/2025
Importancia4 - Alta
Recursos Afectados
  • Aplicación iOS de Dreamehome: versiones 2.3.4 y anteriores;
  • Aplicación Dreamehome para Android: versiones 2.1.8.8 y anteriores;
  • Aplicación iOS de MOVAhome: versiones 1.2.3 y anteriores.
Descripción

Dennis Giese ha informado sobre una vulnerabilidad de severidad alta que podría permitir una divulgación no autorizada de información.

Solución

No existe solución por el momento.

Detalle

CVE-2025-8393: existe una vulnerabilidad de TLS en la aplicación de teléfono utilizada para administrar un dispositivo conectado. Esta aplicación acepta certificados autofirmados al establecer comunicación TLS, lo que puede provocar ataques de intermediario en redes no confiables. Las comunicaciones capturadas pueden incluir credenciales de usuario y tokens de sesión confidenciales.