Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI y una actualización

Índice

  • Múltiples vulnerabilidades en EVE X1 Server de Ilevia
  • Múltiples vulnerabilidades en productos de Moxa
  • [Actualización 06/02/2026] Aplicación incorrecta de la integridad de los mensajes durante su transmisión en productos de Hitachi Energy

Múltiples vulnerabilidades en EVE X1 Server de Ilevia

Fecha06/02/2026
Importancia5 - Crítica
Recursos Afectados
  • EVE X1 versiones anteriores a 4.7.18.0, incluida.
Descripción

Gjoko Krstic de Zero Science Lab ha informado sobre 9 vulnerabilidades: 5 de severidad crítica, 3 altas y 1 media, que podría permitir a un atacante ejecutar comandos de shell arbitrarios y divulgar información confidencial del sistema.

Solución

Actualizar a la versión más reciente de Ilevia Manager.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • CVE-2025-34187: el servidor Ilevia EVE X1/X5 contiene una configuración incorrecta en el archivo 'sudoers' que permite la ejecución sin contraseña de ciertos scripts de Bash. Si estos scripts son modificables por usuarios web o se puede acceder a ellos mediante inyección de comandos, los atacantes pueden reemplazarlos con cargas maliciosas. La ejecución con sudo otorga acceso root completo, lo que resulta en una escalada remota de privilegios y una posible vulneración del sistema.
  • CVE-2025-34186: el servidor Ilevia EVE X1/X5 presenta una vulnerabilidad en su mecanismo de autenticación. Una entrada no saneada se pasa a una llamada system() para la autenticación, lo que permite a los atacantes inyectar caracteres especiales y manipular el análisis de comandos. Debido a que el binario interpreta los códigos de salida distintos de cero como una autenticación exitosa, los atacantes remotos pueden eludir la autenticación y obtener acceso completo al sistema.
  • CVE-2025-34184: el servidor Ilevia EVE X1 contiene una vulnerabilidad de inyección de comandos del sistema operativo no autenticados en el script /ajax/php/login.php. Atacantes remotos pueden ejecutar comandos arbitrarios del sistema inyectando cargas útiles en el parámetro HTTP POST "passwd", lo que puede comprometer completamente el sistema o provocar una denegación de servicio.
  • CVE-2025-34183: el servidor Ilevia EVE X1 contiene una vulnerabilidad en su mecanismo de registro del lado del servidor que permite a atacantes remotos no autenticados recuperar credenciales de texto plano de archivos .log expuestos. Esta falla permite eludir la autenticación completa y comprometer el sistema mediante la reutilización de credenciales.
  • CVE-2025-34513: el firmware del servidor Ilevia EVE X1 contiene una vulnerabilidad de inyección de comandos del sistema operativo en mbus_build_from_csv.php que permite a un atacante no autenticado ejecutar código arbitrario. Ilevia se ha negado a reparar esta vulnerabilidad y recomienda a sus clientes no exponer el puerto 8080 a Internet.

Las vulnerabilidades de severidad alta se describen a continuación:

  • CVE-2025-34185: el servidor Ilevia EVE X1 contiene una vulnerabilidad de divulgación de archivos de preautenticación mediante el parámetro POST 'db_log'. Atacantes remotos pueden recuperar archivos arbitrarios del servidor, exponiendo información confidencial del sistema y credenciales.
  • CVE-2025-34518: el firmware del servidor Ilevia EVE X1 contiene una vulnerabilidad de recorrido de ruta relativa en get_file_content.php que permite a un atacante leer archivos arbitrarios. Ilevia se ha negado a solucionar esta vulnerabilidad y recomienda a sus clientes no exponer el puerto 8080 a internet.
  • CVE-2025-34517: el firmware del servidor Ilevia EVE X1 contiene una vulnerabilidad de cruce de ruta absoluta en get_file_content.php que permite a un atacante leer archivos arbitrarios. Ilevia se ha negado a solucionar esta vulnerabilidad y recomienda a sus clientes no exponer el puerto 8080 a Internet.

Para la vulnerabilidad de severidad media se ha asignado el identificador: CVE-2025-34512.

Múltiples vulnerabilidades en productos de Moxa

Fecha06/02/2026
Importancia4 - Alta
Recursos Afectados
  • Productos de la serie UC, OS image (MIL v3.4.1):
    • UC-1200A Series, v1.4 y anteriores;
    • UC-2200A Series, v1.4 y anteriores;
    • UC-3400A Series, v1.2 y anteriores;
    • UC-4400A Series, v1.3 y anteriores;
    • UC-8200 Series, v1.5 y anteriores;
  • Productos de la serie V, OS image (MIL3):
    • V1200 Series, v1.2.0 y anteriores;
  • Productos de la serie V2406C Series, OS image (MIL2):
    • V2406C WL Models, v1.2 y anteriores.
Descripción

Cyloq ha descubierto 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir realizar denegaciones de servicio temporales y el descifrado offline de contenidos eMMC.

Solución

Para los productos de las Series UC y V hay un parche que resuelve la vulnerabilidad CVE-2026-0714 que es conveniente descargar con el siguiente comando según el producto (sin las comillas):

  • UC-1200A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am64x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-2200A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am64x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-3400A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-am62x=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-4400A Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx8mp=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • UC-8200 Series: '$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx7d=5.10.234-cip57-rt25-moxa9-1+deb11u2'
  • V1200 Series:'$ sudo apt update && sudo apt install linux-image-5.10.0-cip-rt-moxa-imx8mp=5.10.234-cip57-rt25-moxa9-1+deb11u2'

Una vez descargado el parche, habría que reiniciar el sistema y asegurarse de que el producto está actualizado a la última versión con los siguientes comandos, sin las comillas:

'$ sudo reboot'
'$ dpkg-query -W linux-image-5.10.0-cip-rt-moxa*'

Para el producto de la serie V2406C y en todos los casos para la otra vulnerabilidad, no existe un parche que solucione el problema, pero se recomienda realizar las siguientes acciones de mitigación:

  • Para los usuarios de las Series UC y V, se recomienda cambiar la contraseña por defecto del gestor de arranque. Puede encontrar más información de cómo hacerlo en el manual de "Moxa Industrial Linux 3.x (Debian 11) Arm-based Computers Manual (with Security Hardening Guide)" versión 3.1 o posterior, página 123.
  • Para los modelos V2406C WL, ejecute el dispositivo en un entorno con control de acceso físico.
  • En cualquier caso, se recomienda tener las redes, los dispositivos físicos y sus acceso físicos debidamente securizados.
Detalle
  • CVE-2026-0714:  algunos productos de Moxa que emplean cifrado completo de disco TPM-backed LUKS en Moxa Industrial Linux 3, cuando el TPM discreto está conectado a la CPU mediante un bus SPI, tienen una vulnerabilidad de ataque físico. Para explotar la vulnerabilidad es preciso realizar un acceso físico invasivo, lo que implica abrir el dispositivo y añadir un aparato externo al bus SPI que capture las comunicaciones TPM. Si el ataque tiene éxito, los datos capturados pueden permitir el descifrado offline de los contenidos eMMC. No es posible explotar el ataque el remoto y para hacerlo se necesita no solo tener acceso físico al dispositivo, sino también disponer de unos aparatos adecuados y tiempo suficiente para capturar las señales y analizarlas.
  • CVE-2026-0715: los dispositivos Moxa Arm-based que ejecutan Moxa Industrial Linux Secure emplean una contraseña para el gestor de arranque que está almacenada en el dispositivo y es única por dispositivo. Un atacante con acceso físico al dispositivo podría emplear esta información para acceder al menú del gestor de arranque a través de una interfaz serie. Aunque el acceso al menú del gestor de arranque no sirve para obtener un control total del dispositivo o realizar una escalada de privilegios, sí es posible realizar el flasheo de imágenes firmadas por Moxa. En consecuencia, un atacante no puede instalar un firmware malicioso o ejecutar código arbitrario; sin embargo, sí puede provocar denegaciones de servicio temporales si reflashea una imagen válida.

[Actualización 06/02/2026] Aplicación incorrecta de la integridad de los mensajes durante su transmisión en productos de Hitachi Energy

Fecha17/12/2025
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de los productos:

  • AFS 660-B/C/S;
  • AFS 665-B/S;
  • AFS 670 v2.0;
  • AFS 650;
  • AFS 655;
  • AFS 670;
  • AFS 675;
  • AFS 677;
  • AFR 677;
  • AFF 660;
  • AFF 665.
Descripción

Hitachi Energy ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un atacante comprometer la integridad de los datos del producto afectado e interrumpir su disponibilidad.

Solución

Se recomienda establecer la configuración de RADIUS en predeterminada, para habilitar la opción de autenticador de mensajes del servidor RADIUS.

Para obtener más información, consulte el aviso de seguridad de Hitachi Energy que se encuentra en los enlaces de las referencias.

Detalle

CVE-2024-3596: el protocolo RADIUS bajo RFC 2865 es vulnerable a ataques de falsificación en los productos AFS, AFR y AFF, lo que permitiría a un atacante local alterar cualquier respuesta válida (acceso-aceptación, acceso-rechazo o acceso-desafío) a cualquier otra, mediante el uso de un ataque por colisión de prefijo elegido contra la firma del autenticador de respuesta MD5.