Cuatro nuevos avisos de SCI
Índice
- Salto de directorio en SmartEMS de Welotec
- Deserialización de datos no confiables en TwinCAT 3 Engineering de Beckhoff
- Múltiples vulnerabilidades en productos de Rockwell Automation
- Múltiples vulnerabilidades en productos de la serie RTU500 de Hitachi Energy
- [Actualización 10/09/2025] Múltiples vulnerabilidades en productos Schneider Electric
Salto de directorio en SmartEMS de Welotec
- SmartEMS Web Application, versiones anteriores a la 3.3.6.
CERT@VDE en coordinación con Welotec GmbH, han informado de una vulnerabilidad de severidad alta que, en caso de ser explotada, permite a un atacante autenticado la ejecución de código en remoto.
Actualizar a la versión 3.3.6. En caso de que eso no sea posible, se recomienda realizar las siguientes acciones para mitigar el problema:
- restringir el acceso a SmartEMS Web UI a los administradores de red de confianza o con una VPN;
- reforzar el uso de credenciales robustas;
- rotar o revocar los tokens/sesiones activos.
El gestor de subidas de SmartEMS tiene una vulnerabilidad de salto de directorio que permite a los usuarios autenticados subir datos fuera del directorio previsto usando el encabezado 'Upload-Key'. Si la implementación permite acceder a rutas interpretables por código y en las que se puede escribir, esto puede dar lugar a la ejecución de código en remoto.
Un atacante autenticado con acceso por red a la interfaz web de usuario de SmartEMS, puede escribir fuera del directorio de subida previsto, sobrescribir o colocar archivos en ubicaciones sensibles, provocar una ejecución remota de código -en función de los permisos del sistema de archivos y el contexto de ejecución-, y acceder o modificar datos confidenciales.
Se ha asignado el identificador CVE-2025-41714 a esta vulnerabilidad.
Deserialización de datos no confiables en TwinCAT 3 Engineering de Beckhoff
TE1000 | TwinCAT 3 Enineering: versiones anteriores a la 3.1.4024.67.
CERT@VDE en coordinación con Beckhoff ha publicado una vulnerabilidad de severidad alta que podría permitir la ejecución de comandos arbitrarios en el contexto del usuario.
Actualizar a una versión reciente del producto afectado y desinstale las versiones anteriores de TwinCAT 3 Engineering. Es necesario asegurarse de que las versiones anteriores de TwinCAT 3 Engineering no aparezcan como versiones de 'Remote Manager'.
CVE-2025-41701: un atacante con acceso a los archivos locales puede crear un archivo de proyecto manipulado y engañar a un usuario para que lo abra con la herramienta de ingeniería vulnerable. Al hacerlo, se ejecutarán comandos arbitrarios en el contexto del propio usuario. Si se utilizan versiones anteriores de la herramienta, la manipulación del archivo de proyecto también puede aprovecharse para forzar su apertura con dichas versiones.
Múltiples vulnerabilidades en productos de Rockwell Automation
- Analytics LogixAI;
- ControlLogix 5580;
- CompactLogix® 5480;
- Stratix IOS;
- 1783-NATR;
- ThinManager;
- FactoryTalk Optix;
- FactoryTalk Activation Manager.
Para conocer las versiones afectadas, consultar los enlaces de las referencias.
Rockwell ha informado de 8 vulnerabilidades 7 de severidad alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante acceder a información sensible, provocar un fallo no recuperable en el controlador y ejecutar código arbitrario, entre otras acciones.
Actualizar a la ultima versión del producto.
Para CompactLogix® 5480, actualmente no hay disponible un parche que solucione el problema, por lo que se recomienda tener el producto y la red debidamente securizadas.
La vulnerabilidades detectadas son las siguientes:
- CVE-2025-9364. Severidad alta. Vulnerabilidad de tipo exposición de información sensible del sistema a una esfera de control no autorizada. Un atacante que se encuentre en la intranet puede acceder a información sensible y modificarla.
- CVE-2025-9166. Severidad alta. Vulnerabilidad de tipo desreferencia a puntero nulo. El controlador del producto intenta reenviar mensajes repetidamente, lo que podría resultar en un fallo no recuperable importante en el controlador y, por tanto, producir una denegación de servicio.
- CVE-2025-9160. Severidad alta. Vulnerabilidad de tipo falta de autenticación en una función crítica. Un atacante con acceso físico puede abusar del menú de mantenimiento del controlador con una carga útil manipulada, lo que puede derivar en una ejecución de código arbitrario.
- CVE-2025-7350. Severidad alta. Vulnerabilidad de tipo neutralización incorrecta de elementos especiales en la salida utilizados por un componente posterior (inyección). Un atacante puede cargar y ejecutar configuraciones maliciosas sin autenticación, lo que puede derivar en una ejecución de código en remoto.
- CVE-2025-9065. Severidad alta. Vulnerabilidad de tipo petición falsificada del lado del servidor (SSRF, Server-Side Request Forgery). Atacantes autenticados pueden explotar esta vulnerabilidad especificando rutas SMB externas, lo que provoca que se exponga el hash de la cuenta de servicio NTLM de ThinServer.
- CVE-2025-9161. Severidad alta. Vulnerabilidad de tipo validación de entrada inadecuada. El programa no depura las URI correctamente, esto permite que se puedan cargar plugins de Mosquito, lo que puede provocar una ejecución de código en remoto.
- CVE-2025-7970. Severidad alta. Vulnerabilidad de tipo implementación incorrecta de un algoritmo de autenticación. Un error software en la implementación de la criptografía podría permitir a los atacantes descifrar el tráfico. Esto podría dar lugar a la exposición de datos, el secuestro de sesiones y el compromiso total de las comunicaciones.
- CVE-2020-28895. Severidad media. Vulnerabilidad de tipo uso de componentes de terceros dependientes de la plataforma. Existe un problema en la gestión del tamaño de la memoria que puede hacer que la memoria almacenada sea más pequeña que el tamaño del búfer especificado en los argumentos, lo que deriva en una corrupción de memoria.
Múltiples vulnerabilidades en productos de la serie RTU500 de Hitachi Energy
- RTU500 series CMU, versiones de firmware de 12.7.1 a 12.7.7;
- RTU500 series CMU, versiones de firmware de 13.4.1 a 13.4.4;
- RTU500 series CMU, versiones de firmware de 13.5.1 a 13.5.3;
- RTU500 series CMU, versión de firmware 13.6.1;
- RTU500 series CMU, versiones de firmware de 13.7.1 a 13.7.6.
NOTA: no todos los productos están afectados por las mismas vulnerabilidades. Consultar el enlace de las referencias para mayor detalle.
Hitachi Energy ha informado de 7 vulnerabilidades, 5 altas y 2 medias que, de ser explotadas, podrían provocar denegaciones de servicio (DoS) y reinicios de los productos.
Actualizar a la última versión del producto.
Las vulnerabilidades de severidad alta son:
- CVE-2023-2953: la librería openLDAP utilizada en el cliente Gestor de Cuentas Central (CAM, Central Account Management) tiene una vulnerabilidad que, en caso de ser explotada, puede provocar una denegación de servicio (DoS) cuando una solicitud especialmente diseñada tenga una desreferencia de puntero nula, lo que da lugar a que el CMU afectado se recupere automáticamente reiniciándose.
- CVE-2024-45492: la librería libexpat utilizada en los componentes cliente y servidor IEC 61850 de la serie de productos RTU500 tiene una vulnerabilidad que hace que un usuario malintencionado, autenticado y autorizado pueda cargar una entrada XML manipulada que provoque un desbordamiento de enteros y, potencialmente, el reinicio del RTU500.
- CVE-2024-45491: la librería libexpat utilizada en los componentes cliente y servidor IEC 61850 de la serie de productos RTU500 tiene una vulnerabilidad que hace que un usuario malintencionado, autenticado y autorizado pueda cargar una entrada XML manipulada que provoque una corrupción de montículo y, potencialmente, el reinicio del RTU500.
- CVE-2024-45490 y CVE-2024-28757: la librería libexpat utilizada en los componentes cliente y servidor IEC 61850 de la serie de productos RTU500 tiene una vulnerabilidad que hace que un usuario malintencionado, autenticado y autorizado pueda cargar una entrada XML manipulada que provoque una incorrecta gestión de la memoria y, potencialmente, el reinicio del RTU500.
Las vulnerabilidades de severidad media se pueden consultar en el enlace de las referencias.
[Actualización 10/09/2025] Múltiples vulnerabilidades en productos Schneider Electric
- Modicon Controllers M241 / M251, versiones anteriores a 5.3.12.48;
- Modicon Controllers M258 / LMC058;
- Wiser AvatarOn 6K Freelocate;
- Wiser Cuadro H 5P Socket;
- PrismaSeT Active - Wireless Panel Server;
- Galaxy VS;
- Galaxy VL;
- Galaxy VXL.
Los productos de Schneider Electric están afectados por 3 vulnerabilidades, 2 de ellas de severidad alta y una crítica. Su explotación podría permitir la lectura de archivos arbitrarios sin autorización, ejecución del código del atacante de forma persistente y ejecución no autorizada de código.
Para los siguientes productos, actualizar a la versión indicada:
- Modicon Controllers M241/M251, versión 5.3.12.48.
Los siguientes productos aún no disponen de un parche de seguridad. El proveedor está trabajando en poder ofrecerlo en breve, pero mientras tanto, se recomienda seguir las siguientes acciones para mitigar el problema:
- Modicon Controllers M258 / LMC058:
- Utilizar controladores y dispositivos únicamente en un entorno protegido para minimizar la exposición en la red y asegurarse de que no son accesibles desde Internet o desde redes que no sean de confianza.
- Utilizar las funciones de administración de usuario y contraseñas. Los permisos de usuario están habilitados por defecto y se exige crear una contraseña segura la primera vez.
- Deshabilitar el Webserver cuando se deje de usar.
- Emplear enlaces de comunicación codificados cuando estén disponibles.
- Configurar la segmentación de red e instalar un cortafuegos para bloquear todos los accesos no autorizados a puertos 80/HTTP y 443/HTTPS.
- Si necesita acceder en remoto, hágalo a través de túneles VPN.
- Consultar la guía para más acciones específicas “Cybersecurity Guidelines for EcoStruxure Machine Expert Modicon and PacDrive Controllers and Associated Equipment”.
- Galaxy VS, Galaxy VL y Galaxy VXS:
- [Actualización 10/09/2025] Ya están disponibles las versiones correctoras para Galaxy VS (6.123.0), Galaxy VL (18.10.0) y Galaxy VXL (15.29.0).
- Iniciar sesión en NMC4 a través de la interfaz web. Cuando haya accedido al sistema vaya a la página de configuración de la consola desde la barra de menú navegando por Configuration -> Network -> Console -> Access.
- Desde la pantalla de configuración, desmarque la casilla de verificación "habilitar SSH/SFTP/SCP" y haga clic en "Aplicar".
Los siguientes productos han alcanzado el final de su vida útil y el fabricante no tiene previsto sacar una actualización. En las referencias del aviso puede encontrar información adicional del fabricante con diversas propuestas de mitigación.
- Wiser AvatarOn 6K Freelocate;
- Wiser Cuadro H 5P Socket;
- PrismaSeT Active -Wireless Panel Server.
[Actualización 16/07/2025]
Como ya se venía indicando anteriormente, el fabricante estaba trabajando en nuevas actualizaciones, por lo que se recomienda revisar en aviso oficial enlazado en referencias para conocer los últimos parches disponibles.
Las vulnerabilidades son:
- CVE-2025-2875, de severidad alta. Referencia controlada externamente a un recurso en otra esfera, podría provocar una pérdida de confidencialidad cuando un atacante, no autenticado, manipula la URL del servidor web del controlador para acceder a los recursos.
- CVE-2023-4041, de severidad crítica. Afecta a un componente de terceros, en concreto, Silicon Labs Gecko Bootloader que se emplea en los productos Wiser y PrismaSeT. La vulnerabilidad es de tipo desbordamiento del búfer y puede permitir la inyección de código.
- CVE-2025-32433, de severidad crítica. Afecta al componente de terceros Erlang/OTP que se emplea en los productos Galaxy. Esta vulnerabilidad impacta en el componente SSH y puede permitir la ejecución de código en remoto (RCE) de forma no autenticada, lo que puede derivar en la capacidad de monitorización del UPS y su potencial funcionamiento.