Cuatro nuevos avisos de SCI
Índice
- Avisos de seguridad de Siemens de diciembre 2025
- Deserialización de Java en Asset Suite de Hitachi Energy
- Control de acceso incorrecto en productos de U-Boot
- Múltiples vulnerabilidades en productos de Rockwell Automation
Avisos de seguridad de Siemens de diciembre 2025
- RUGGEDCOM ROX II family;
- COMOS;
- Gridscale X Prepay;
- SIMATIC;
- Building X;
- SICAM T;
- SINEMA Remote Connect Server;
- JT Bi-Directional Translator for STEP;
- NX;
- Simcenter;
- Tecnomatix Plant Simulation;
- Energy Services;
- RUGGEDCOM;
- Solid Edge;
- SINEC Security Monitor;
- SIDOOR;
- SIMATIC;
- SIMOCODE;
- SINUMERIK;
- SIPLUS;
- SIWAREX;
Para conocer los detalles de las versiones afectadas para cada producto se recomienda consultar los enlaces de las referencias.
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Desde el panel de descarga de Siemens puede obtener las últimas versiones de los productos de los que se han parcheado las vulnerabilidades.
Para los productos sin actualizaciones disponibles se recomienda aplicar las medidas de mitigación descritas en la sección de 'Referencias'.
Siemens, en su comunicado mensual de parches de seguridad, ha emitido 14 nuevos avisos de seguridad, recopilando un total de 127 vulnerabilidades de distintas severidades, entre ellas 13 crítica que se describe a continuación:
- CVE-2025-40800: el cliente IAM de los productos afectados no comprueba la validez del certificado del servidor al establecer conexiones TLS con el servidor de autorización. Esto podría permitir a un atacante llevar a cabo un ataque de tipo "Man-in-the-Middle".
- CVE-2025-40801: el SDK de SALT no valida el certificado del servidor al establecer conexiones TLS con el servidor de autorización. Esto podría permitir a un atacante realizar un ataque de tipo "Man-in-the-Middle".
- CVE-2025-40938: el dispositivo afectado almacena información confidencial en el firmware. Esto podría permitir a un atacante acceder y hacer un uso indebido de esta información, lo que podría afectar a la confidencialidad, integridad y disponibilidad del dispositivo.
- CVE-2024-47875: DOMpurify era vulnerable al mXSS basado en anidamiento. Esta vulnerabilidad se ha corregido en las versiones 2.5.0 y 3.1.3.
- CVE-2024-52533: gio/gsocks4aproxy.c en GNOME GLib anterior a la versión 2.82.1 tiene un error de desviación de uno y el consiguiente desbordamiento del búfer porque SOCKS4_CONN_MSG_LEN no es suficiente para un carácter “\0” final.
Para el resto de vulnerabilidades de severidad crítica antiguas se han asignado los siguientes identificadores CVE-2022-29873, CVE-2022-41665, CVE-2022-43439, CVE-2022-37032, CVE-2022-37434, CVE-2022-48960, CVE-2019-9893, CVE-2019-12900.
Para más información consultar los enlaces de las referencias.
Deserialización de Java en Asset Suite de Hitachi Energy
Asset Suite, versión 9.7 y anteriores.
Hitachi Energy PSIRT ha publicado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada podría permitir a un atacante ejecutar código arbitrario de forma remota en los sistemas afectados.
Se recomienda actualizar a la última versión estable del producto afectado.
Para más información sobre las prácticas de seguridad se recomienda seguir los pasos de mitigación del aviso oficial enlazado de las referencias.
CVE-2025-10492: vulnerabilidad de deserialización en Java encontrada en la librería Jaspersoft de Jasper Report. Esta vulnerabilidad afecta al manejo inadecuado de datos suministrados externamente y podría permitir a un atacante ejecutar código arbitrario de forma remota en sistemas que utilizan la librería afectada.
Control de acceso incorrecto en productos de U-Boot
Todas las versiones anteriores a la 2017.11 de U-Boot se ven afectadas.
Se ha confirmado que los siguientes chips específicos también están afectados: Qualcomm IPQ4019, IPQ5018, IPQ5322, IPQ6018, IPQ8064, IPQ8074 y IPQ9574
Harvey Phillips ha informado de una vulnerabilidad, que de ser explotada podría permitir a un atacante la ejecución de código arbitrario.
Konsulko, el mantenedor externo de U-Boot, recomienda actualizar U-Boot a la versión v2025.4 o posterior y garantizar la seguridad física del dispositivo. Además, Qualcomm recomienda a los usuarios con SoC afectados, ponerse en contacto con su soporte técnico indicando las referencias CVE-2025-24857, QPSIIR-1969 o CR4082905.
CVE-2025-24857: los productos afectados son vulnerables a una vulnerabilidad del gestor de arranque, lo que podría permitir a un atacante ejecutar código arbitrario.
Múltiples vulnerabilidades en productos de Rockwell Automation
- FactoryTalk® DataMosaix™ Private Cloud, versiones 7.11, 8.00 y 8.01;
- 432ES-IG3 Series A, versión 1.001.
Rockwell Automation ha publicado dos avisos que informan de un total de 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían provocar una denegación de servicio o realizar operaciones para las que no tienen permisos en bases de datos.
Actualizar los productos a las siguientes versiones:
- FactoryTalk® DataMosaix™ Private Cloud, versión 8.01.02;
- 432ES-IG3 Series A, versión 2.001.9.
- CVE-2025-12807: la vulnerabilidad que afecta a DataMosaix Private Cloud permite a usuarios con pocos privilegios realizar operaciones confidenciales en bases de datos a través de APIs expuestas.
- CVE-2025-9368: la vulnerabilidad en 432ES-IG3 Series A afecta a la interfaz GuardLink® EtherNet/IP y deriva en una denegación de servicio (DoS) que hace que sea necesario reiniciar el equipo manualmente, apagándolo y encendiéndolo, para que vuelva a funcionar.