Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en Vitogate 300 de Viessmann
  • [Actualización 24/09/2025] Aplicación incorrecta de comprobaciones de seguridad en productos Hitachi Energy

Múltiples vulnerabilidades en Vitogate 300 de Viessmann

Fecha24/09/2025
Importancia4 - Alta
Recursos Afectados

Vitogate 300, versiones anteriores a la 3.1.0.1.

Descripción

adhkr, de LuwakLab, en colaboración con Trend Micro Zero Day Initiative y Souvik Kandar, de MicroSec, han informado de 2 vulnerabilidades, ambas de severidad alta, que, en caso de ser explotadas, podrían permitir a un atacante modificar un comando del SO cuando se envía a un componente posterior o provocar interacciones imprevistas entre el cliente y el servidor.

Solución

Actualizar a la versión 3.1.0.1 o posterior desde el sitio web de Vitogate 300.

Detalle
  • CVE-2025-9494: neutralización incorrecta de elementos especiales empleados en un comando del SO. Vitogate 300 crea todo o parte de un comando del sistema operativo utilizando como entrada información proporcionada por un componente anterior, pero no neutraliza o lo hace incorrectamente elementos especiales que podrían modificar el comando previsto del SO que se envía a un componente posterior.
  • CVE-2025-9495: aplicación en el lado del cliente de la seguridad del lado del servidor. Cuando el servidor depende de mecanismos de protección en el lado del cliente, un atacante puede modificar el comportamiento del lado del cliente para eludirlos, lo que potencialmente puede provocar interacciones inesperadas entre el cliente y el servidor. Las consecuencias varían dependiendo de qué se esté intentando proteger con los mecanismos.

[Actualización 24/09/2025] Aplicación incorrecta de comprobaciones de seguridad en productos Hitachi Energy

Fecha24/01/2025
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de firmware CMU de la serie RTU500 están afectadas:

  • versiones 13.5.1 hasta la 13.5.3 (incluida);
  • versiones 13.4.1 hasta la 13.4.4 (incluida);
  • versiones 13.2.1 hasta la 13.2.7 (incluida).
Descripción

Hitachi Energy ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante actualizar el RTU500 con firmware sin firmar.

Solución

Hitachi Energy recomienda a los usuarios afectados actualizar a la versión 13.6.1 del firmware de la CMU y habiliten la función de actualización segura en todas las CMU de una RTU500.

Detalle

La vulnerabilidad permite a los usuarios autenticados y autorizados eludir la actualización segura. Si un actor malintencionado explota con éxito esta vulnerabilidad, podría utilizarla para actualizar el RTU500 con firmware sin firmar.

Se ha asignado el identificador CVE-2024-2617 para esta vulnerabilidad.