Cinco nuevos avisos de SCI y una actualización
Índice
- Validación inadecuada en iSTAR de Johnson Controls
- Inyección SQL en iView de Advantech
- Mecanismo de recuperación de contraseñas débiles en MAXHUB Pivot
- Múltiples vulnerabilidades en productos de Sunbird
- Omisión de autenticación en Monitoring Platform de SolisCloud
- [Actualización 05/12/2025] Dependencia de componentes vulnerables en productos de Johnson Controls
Validación inadecuada en iSTAR de Johnson Controls
- iSTAR eX: todas las versiones anteriores a TLS 1.2;
- iSTAR Edge: todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra LT (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra SE (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2.
Johnson Controls ha informado sobre una vulnerabilidad de severidad alta que podría provocar que el producto no pueda restablecer la comunicación una vez que expire el certificado.
Johnson Controls recomienda las siguientes mitigaciones:
- Para los certificados basados en host que utilizan TLS 1.2, no se requiere actualización a versiones específicas del software/firmware de C•CURE o iSTAR. Sin embargo, es preciso descargar un nuevo certificado en todos los paneles iSTAR simultáneamente, lo que provoca un breve tiempo de inactividad del sistema
- Para cada clúster, convertir el modo de cifrado a TLS 1.3. Requiere firmware 6.9.0 o superior y C•CURE 9000 v2.90 SP3 o superior.
- Para los paneles heredados, actualizarlos al nuevo hardware G2. Recomendado para sistemas más pequeños debido a limitaciones de tiempo. Aplica principalmente a los paneles iSTAR eX, iSTAR Edge y iSTAR LT.
CVE-2025-61736: en determinadas circunstancias, un iSTAR que utiliza el certificado predeterminado para conectarse al servidor C•CURE puede no poder restablecer la comunicación una vez que el certificado expire.
Inyección SQL en iView de Advantech
iView, versión 5.7.05.7057.
m00nback ha informado de una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante acceder, modificar y eliminar información incluida la información privada.
Actualizar el producto a la versión 5.8.1.
CVE-2025-13373: el producto no depura correctamente las peticiones SNMP v1 trap (puerto 162), lo que puede permitir a un atacante inyectar comandos SQL.
Mecanismo de recuperación de contraseñas débiles en MAXHUB Pivot
Aplicación cliente Pivot: todas las versiones anteriores a la v1.36.2.
Malik MAKKES, de Abicom Groupe OCI, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante solicitar un restablecimiento de contraseña y obtener acceso no autorizado a la cuenta.
MAXHUB recomienda a los usuarios actualizar la aplicación cliente Pivot a la versión 1.36.2 o posterior.
El mecanismo de restablecimiento de contraseña de la aplicación cliente Pivot es débil y puede permitir que un atacante se haga con el control de la cuenta.
Se ha asignado el identificador CVE-2025-53704 para esta vulnerabilidad.
Múltiples vulnerabilidades en productos de Sunbird
- DCIM dcTrack: versiones v9.2.0 y anteriores;
- Power IQ: versiones v9.2.0 y anteriores.
Notnotnotveg ha informado sobre 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante obtener acceso no autorizado o robar credenciales.
Se recomienda actualizar a las siguientes versiones:
- DCIM dcTrack versión 9.2.3.
- Power IQ versión 9.2.1.
Si no es posible la actualización de estos productos, se recomienda seguir las recomendaciones del fabricante.
- Restringir el acceso a SSH o a cualquier puerto no esencial en el control de acceso basado en IP.
- Cambiar las contraseñas de usuario basadas en SSH en el momento de la implementación.
- CVE-2025-66238: uso indebido en ciertas funciones de acceso remoto. Un usuario autenticado con acceso, podría explotar las funciones para redirigir el tráfico de red, acceder a los servicios o a los datos confidenciales del dispositivo afectado.
- CVE-2025-66237: DCIM dcTrack utiliza credenciales de acceso predefinidas, lo que podría permitir a un atacante usar esas conocidas credenciales para administrar la base de datos, realizar una escalación de privilegios o ejecutar comandos en el host.
Omisión de autenticación en Monitoring Platform de SolisCloud
Plataforma de supervisión (API en la nube y API de control de dispositivos): API v1 y API v2.
James Gallagher ha informado a CISA de una vulnerabilidad que, si se explota, puede permitir a un atacante acceder a información confidencial mediante la manipulación de solicitudes API.
No hay ninguna solución reportada por el momento. Para más información se recomienda ponerse en contacto con SolisCloud o revisar las mitigaciones pertinentes que se detallan el enlace de las referencias.
CVE-2025-13932: la API de SolisCloud contiene una vulnerabilidad de control de acceso defectuoso, concretamente una referencia directa a objetos insegura (IDOR), por la que cualquier usuario autenticado puede acceder a datos detallados de cualquier planta modificando el plant_id en la solicitud.
[Actualización 05/12/2025] Dependencia de componentes vulnerables en productos de Johnson Controls
- FX80: FX 14.10.10;
- FX80: FX 14.14.1;
- FX90: FX 14.10.10;
- FX90: FX 14.14.1.
[Actualización 05/12/2025]
- Servidor FX: FX 14.10.10 y anteriores;
- Servidor FX: FX 14.14.1 y anteriores.
Johnson Controls ha informado sobre una vulnerabilidad que podría permitir a un atacante comprometer los archivos de configuración del dispositivo.
Johnson Controls recomienda a los usuarios actualizar a la última versión:
- Para los sistemas que ejecutan la versión 14.10.10, aplique el parche 14.10.11 desde el portal de software.
- Para los sistemas que ejecutan la versión 14.14.1, aplique el parche 14.14.2 desde el portal de software.
- Nota: FX 14.10.10 contiene Niagara 4.10u10.
- Nota: FX 14.14.1 contiene Niagara 4.14u1.
CVE-2025-43867: el producto afectado es vulnerable a un componente de terceros vulnerable, que podría permitir a un atacante comprometer los archivos de configuración del dispositivo.