Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de Mitsubishi Electric
  • Múltiples vulnerabilidades en controladores FLXeon de ABB

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Fecha18/09/2025
Importancia5 - Crítica
Recursos Afectados
  • EZSocket: de la versión 3.0 a la 5.92;
  • GT Designer3 Version1 (GOT1000): 1.325P y anteriores;
  • GT Designer3 Version1 (GOT2000): 1.320J y anteriores;
  • GX Works2: de la versión 1.11M a la 1.626C;
  • GX Works3: 1.106L y anteriores;
  • MELSOFT Navigator: de la versión 1.04E a la 2.102G;
  • MT Works2: 1.190Y y anteriores;
  • MX Component: de la versión 4.00A a la 5.007H;
  • MX OPC Server DA/UA (incluido con MC Works64): todas las versiones;
  • PV-DR004J: todas las versiones;
  • PV-DR004JA: todas las versiones;
Descripción

Mitsubishi Electric ha publicado 5 notas de seguridad con 7 vulnerabilidades: 1 de severidad crítica, 2 altas y 4 medias, que podrían permitir a un atacante omitir la autenticación, ejecutar código malicioso (RCE), divulgar, alterar, destruir o eliminar información de los productos, o provocar una condición de denegación de servicio (DoS).

Solución

Actualizar a las siguientes versiones:

  • EZSocket: versión 5.A o posterior.
  • GT Designer3 Version1 (GOT1000): 1.330U o posterior.
  • GT Designer3 Version1 (GOT2000): 1.325P o posterior.
  • GX Works2: 1.630G o posterior.
  • GX Works3: 1.110Q o posterior.
  • MELSOFT Navigator: 2.106L o posterior.
  • MT Works2: 1.195D o posterior.
  • MX Component: 5.008J o posterior.

Dado que el soporte técnico para los productos PV-DR004J y PV-DR004JA ha finalizado, se recomienda a los clientes seguir las pautas indicadas en el aviso oficial enlazado en las referencias.

Detalle
  • CVE-2023-6943: vulnerabilidad de severidad critica de ejecución remota de código debido al uso de entradas controladas externamente para seleccionar clases o código. Un atacante podría ejecutar código malicioso llamando de forma remota a una función con una ruta a una biblioteca maliciosa mientras está conectado a los productos.
  • CVE-2023-6942: vulnerabilidad de severidad alta de omisión de autenticación debido a la falta de autenticación para funciones críticas. Un atacante remoto no autenticado podría eludir la autenticación enviando paquetes especialmente diseñados y conectarse a los productos de forma ilegal.
  • CVE-2025-5023: vulnerabilidad de severidad alta de divulgación de información, manipulación y vulnerabilidad de denegación de servicio (DoS) debido al uso de credenciales codificadas de forma rígida.

Para las vulnerabilidades de severidad media se han asignado los siguientes identificadores CVE-2025-5022, CVE-2025-0921, CVE-2025-8531 y CVE-2025-7376.

Múltiples vulnerabilidades en controladores FLXeon de ABB

Fecha18/09/2025
Importancia5 - Crítica
Recursos Afectados

Productos con la versión de firmware 9.3.5 o anterior de las siguientes plataformas:

  • Plataforma FBXi:
    • FBXi-8R8-X96;
    • FBXi-8R8-H-X96;
    • FBXi-X256;
    • FBXi-X48;
    • FBXi-8R8-X96-S;
  • Plataforma FBVi:
    • FBVi-2U4-4T No Actuator/Strategy;
    • FBVi-2U4-4T-IMP;
    • FBVi-2U4-4T-SI;
  • Plataforma FBTi:
    • FBTi-7T7-1U1R (Generic - No Strategy);
    • FBTi-6T1-1U1R (Generic - No Strategy);
  • Plataforma CBXi:
    • CBXi-8R8;
    • CBXi-8R8-H.

Para confirmar el identificador de los productos de ABB afectados, consultar el enlace en las referencias.

Descripción

Gjoko Krstikj de Zero Science Labs ha informado de 4 vulnerabilidades, 1 de severidad crítica y 3 alta que, en caso de ser explotadas, podrían permitir a un atacante tomar el control del dispositivo en remoto y, potencialmente, insertar y ejecutar código arbitrario.

Solución

Actualmente no existe un parche que solucione el problema. No obstante, se recomienda seguir las indicaciones expuestas a continuación de cara a prevenir verse afectado:

  • Los productos FLXEON no están diseñados para estar expuestos en Internet. En caso de que tenga algún dispositivo de este tipo expuesto directamente a Internet, ya sea a través de una conexión ISP directa o mediante el reenvío de puertos NAT, finalice su ejecución y desconéctelo de la red. En caso de que sea necesario acceder a dicho producto de forma remota, asegúrese que el dispositivo está detrás de un cortafuegos y que el acceso se realiza a través de una VPN Gateway.
  • Asegúrese de que haya controles físicos para que ninguna persona no autorizada pueda acceder a sus dispositivos, componentes, equipos periféricos y redes.
  • Asegúrese de que todos los productos FLXEON estén actualizados con la última versión de firmware.
  • Cambie las contraseñas por defecto de todos los dispositivos y productos ABB.
Detalle

Las vulnerabilidades son:

  • CVE-2025-10205: severidad crítica. Tipo: Salt predecible y algoritmo de hash débil. Para el almacenamiento de los hash de las contraseñas, por un lado, se emplea un algoritmo MD5 vulnerable, con poca entropía en el Salt y, por otro lado, el almacenamiento se realiza en texto plano y en particiones sin cifrar.
  • CVE-2024-48842: severidad alta. Tipo: Contraseñas almacenadas en el código. No es posible almacenar las credenciales necesarias para el funcionamiento del producto en un lugar seguro compatible con el hardware, ya que el producto no implementa dicho componente.
  • CVE-2024-48851: severidad alta. Tipo: Ejecución de código en remoto. Se realiza una validación de entrada de datos inadecuada que puede permitir la ejecución de código en remoto.
  • CVE-2025-10207: severidad alta. Tipo: Divulgación/eliminación de archivos autenticados. Los usuarios pueden enviar archivos con el nombre de ruta completo, lo que permite realizar operaciones con archivos en directorios restringidos.