Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI y una actualización

Índice

  • Múltiples vulnerabilidades en Hospital Manager Backend Services de Vertikal Systems
  • [ACTUALIZACIÓN 29/10/2025] Múltiples vulnerabilidades en productos Schneider Electric

Múltiples vulnerabilidades en Hospital Manager Backend Services de Vertikal Systems

Fecha29/10/2025
Importancia4 - Alta
Recursos Afectados

Hospital Manager Backend Services: versiones anteriores al 19 de septiembre de 2025.

Descripción

Pundhapat Sichamnong ha informado sobre dos vulnerabilidades de severidad alta que podrían permitir a a un atacante obtener acceso no autorizado a información confidencial y divulgarla.

Solución

Vertikal Systems solucionó estas vulnerabilidades antes del 19 de septiembre de 2025. Para obtener más información, los usuarios deben ponerse en contacto con el soporte de Vertikal Systems para obtener ayuda.

Detalle
  • CVE-2025-54459: los servicios de backend del administrador del hospital tenían expuesto el punto de conexión de seguimiento de 'ASP.NET /trace.axd' sin autenticación, lo que permitía a un atacante remoto obtener seguimientos de solicitudes en vivo e información confidencial como metadatos de solicitudes, identificadores de sesión, encabezados de autorización, variables del servidor y rutas de archivos internas.
  • CVE-2025-61959: los servicios de backend del administrador del hospital devolvían páginas de error ASP.NET detalladas para solicitudes 'WebResource.axd' no válidas, revelando información sobre la versión del framework y de ASP.NET, seguimientos de pila, rutas internas y la configuración insegura 'customErrors mode="Off"', lo que podría haber facilitado el reconocimiento por parte de atacantes no autenticados.

[ACTUALIZACIÓN 29/10/2025] Múltiples vulnerabilidades en productos Schneider Electric

Fecha10/12/2024
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de los productos:

  • Harmony (antes denominado Magelis) series HMIST6, HMISTM6, HMIG3U, HMIG3X, HMISTO7 con tiempo de ejecución EcoStruxureTM Operator Terminal Expert;
  • series PFXST6000, PFXSTM6000, PFXSP5000, PFXGP4100 con tiempo de ejecución Pro-face BLUE;
  • Modicon Controllers M241 / M251;
  • Modicon Controllers M258 / LMC058.
Descripción

Schneider Electric ha publicado información sobre 2 vulnerabilidades, una de severidad crítica y otra alta, que afecta a múltiples productos, y cuya explotación podría permitir a un atacante tomar el control total del dispositivo afectado, interferir en la integridad y confidencialidad los dispositivos, provocar un fallo operacional o causar una denegación de servicio (DoS).

Solución
  • Para los HMI Harmony y Pro-face se recomienda:
    • utilizar HMI solo en un entorno protegido, para minimizar la exposición a la red, asegurando que no se puede acceder desde redes públicas de Internet o no fiables;
    • configurar una segmentación en la red e implementar un cortafuegos;
    • restringir el uso de soportes portátiles no verificables;
    • restringir el acceso a la aplicación para limitar la transferencia de firmware a HMIScanning de software o archivos en busca de rootkits antes de su uso y verificación de la firma digital;
    • utilizar protocolos de comunicación seguros al intercambiar archivos a través de la red.
  • Para los controladores Modicon, el fabricante está estableciendo un plan de corrección de la vulnerabilidad CVE-2024-11737 en futuras versiones, hasta entonces se recomienda:
Detalle

Se ha identificado una vulnerabilidad crítica, de tipo validación de entrada inadecuada, que podría provocar una denegación de servicio y una pérdida de confidencialidad e integridad del controlador Modicon cuando se envía al dispositivo un paquete Modbus creado sin autenticación. Se ha asignado el identificador CVE-2024-11737 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-11999.