Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cinco nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en Frick Controls Quantum HD de Johnson Controls, Inc.
  • Múltiples vulnerabilidades en swtchenergy de SWITCH EV
  • Omisión de autenticación en Sarix Pro 3 Series IP Cameras de Pelco
  • Múltiples vulnerabilidades en Copeland XWEB y XWEB Pro
  • Múltiples vulnerabilidades en el sitio web de Chargemap

Múltiples vulnerabilidades en Frick Controls Quantum HD de Johnson Controls, Inc.

Fecha27/02/2026
Importancia5 - Crítica
Recursos Afectados

Frick controla Quantum HD, versiones anteriores a 10.22, incluida.

Descripción

Noam Moshe, del equipo de investigación 82 de Claroty, ha informado sobre 6 vulnerabilidades: 4 de severidad crítica 1 de severidad alta y otra de severidad media. La explotación de estas vulnerabilidades podría llevar a la ejecución remota de código antes de la autenticación, fuga de información o denegación de servicio.

Solución

Las versiones 10.22 a 11 de Frick Controls Quantum HD son plataformas antiguas cuyo soporte técnico ha llegado al final. Johnson Controls, Inc. recomienda actualizar a la plataforma más reciente, Quantum HD Unity, versión 12 o superior. 

Detalle
  • CVE-2026-21654, CVE-2026-21656, CVE-2026-21657 y CVE-2026-21658: el disco duro es vulnerable debido a una validación insuficiente de la entrada en ciertos parámetros que puede permitir acciones inesperadas, que podrían afectar la seguridad del dispositivo antes de que se produzca la autenticación.
  • CVE-2026-21659: el disco duro contiene una vulnerabilidad que permite a un atacante, no autenticado, ejecutar código arbitrario en el dispositivo afectado, lo que provoca un compromiso total del sistema.
  • CVE-2026-21660: las credenciales codificadas en el disco duro crean una vulnerabilidad que conduce a acceso no autorizado, exposición de información confidencial y posible uso indebido o compromiso del sistema.

Múltiples vulnerabilidades en swtchenergy de SWITCH EV

Fecha27/02/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de swtchenergy.com.

Descripción

Khaled Sarieddine y Mohammad Ali Sayed han informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. En caso de que fuesen explotadas, podrían provocar que un atacante pueda secuestrar sesiones, suprimir o desviar el tráfico legítimo para causar una denegación de servicio a gran escala y manipular los datos enviados al backend.

Solución

No hay solución reportada por el momento. Para tomar cualquier práctica de mitigación, se recomienda consultar los enlaces de las referencias o contacte con el fabricante.

Detalle
  • CVE-2026-27767: falta de autenticación adecuada en los endpoints WebSocket que podría permitir a atacantes no autenticados suplantar la identidad de estaciones no autorizadas y manipular los datos enviados al backend tras conectarse al endpoint WebSocket OCPP utilizando un identificador conocido o público y poder emitir o recibir comandos OCPP como si fuera un cargador legítimo. Esto puede permitir a su vez la escalada de privilegios, el control no autorizado de la infraestructura  la corrupción de los datos de la red.
  • CVE-2026-25113: falta de restricciones en el número de solicitudes de autenticación en la interfaz de programación de aplicaciones WebSocket. Esto podría facilitar ataques de fuerza bruta o  ataques de denegación de servicio, suprimiendo o enrutando incorrectamente la telemetría legítima del cargador.
  • CVE-2026-25778: identificadores de sesión predecibles en el backend de WebSocket ya que este utiliza identificadores de estaciones de carga para asociar sesiones permitiendo que varios endpoints se conecten utilizando el mismo identificador. Esto podría permitir a atacantes no autenticados se autentiquen como otros usuarios, provocar denegaciones de servicio, y facilitar el secuestro o shadowing de sesiones.

La vulnerabilidad de severidad media se la identifica con el código CVE-2026-27773

Omisión de autenticación en Sarix Pro 3 Series IP Cameras de Pelco

Fecha27/02/2026
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de las cámaras IP Sarix Pro 3 Series de Pelco, Inc. se ven afectadas:

  • Sarix Professional IMP 3 Series: versiones iguales o anteriores a la 2.52;
  • Sarix Professional IXP 3 Series: versiones iguales o anteriores a la 02.52;
  • Sarix Professional IBP 3 Series: versiones iguales o anteriores a la 02.52;
  • Sarix Professional IWP 3 Series: versiones iguales o anteriores a la 02.52.
Descripción

Souvik Kandar ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a los atacantes obtener acceso no autorizado a datos confidenciales del dispositivo, eludir los controles de vigilancia y exponer las instalaciones a violaciones de la privacidad, riesgos operativos y problemas de cumplimiento normativo.

Solución

Pelco, Inc. recomienda a todos los usuarios de cámaras Sarix Professional Serie 3 que actualicen el firmware de sus cámaras a la versión 02.53 o posterior. La instalación del firmware más reciente garantiza que su dispositivo reciba las correcciones de errores y las mejoras de seguridad críticas más actualizadas.

Detalle

CVE-2026-1241: las cámaras son vulnerables a un problema de omisión de autenticación en su interfaz de gestión web. El fallo se debe a una aplicación inadecuada de los controles de acceso, lo que permite acceder a determinadas funciones sin la autenticación adecuada. Esta debilidad puede dar lugar a la visualización no autorizada de transmisiones de vídeo en directo, lo que genera problemas de privacidad y riesgos operativos para las organizaciones que utilizan estas cámaras.

Múltiples vulnerabilidades en Copeland XWEB y XWEB Pro

Fecha27/02/2026
Importancia5 - Crítica
Recursos Afectados
  • Copeland XWEB 300D PRO, versión 1.12.1 y anteriores;
  • Copeland XWEB 500D PRO, versión 1.12.1 y anteriores;
  • Copeland XWEB 500B PRO, versión 1.12.1 y anteriores.
Descripción

Amir Zaltzman y Noam Moshe de Claroty Team82 han informado de 23 vulnerabilidades, 2 de severidad crítica, 19 alta, 1 media y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante evitar la autenticación, provocar una condición de denegación de servicio, crear una corrupción de memoria y ejecutar código arbitrario.

Solución

Actualizar a la última versión.

Detalle

Las vulnerabilidades son:

  • CVE-2026-21718: vulnerabilidad de omisión de autenticación en Copeland XWEB permite a cualquier atacante evitar los requisitos de autenticación y ejecutar en el sistema código preautenticado.
  • CVE-2026-24663: inyección de comandos del SO en Copeland XWEB que permite a un atacante no autenticado ejecutar código en remoto en el sistema enviando una solicitud manipulada a las rutas de instalación de las bibliotecas e inyectando entradas maliciosas en el cuerpo de la solicitud.
  • CVE-2026-25085: un valor de retorno de la rutina de autenticación es procesado más tarde como un valor legítimo, lo que deriva en una elusión de autenticación.
  • CVE-2026-21389: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en el cuerpo de solicitud que se envía a la ruta de importación de contactos.
  • CVE-2026-25111: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de restauración.
  • CVE-2026-20742: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de plantillas.
  • CVE-2026-24517: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando una entrada maliciosa en las solicitudes que se envían a la ruta de actualización del firmware.
  • CVE-2026-25195: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto suplantando un fichero de actualización del firmware manipulado a través de la ruta de actuación del firmware.
  • CVE-2026-20910: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos de la acción de actualización del firmware.
  • CVE-2026-24689: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos de la acción de aplicar la actualización de firmware.
  • CVE-2026-25109: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo de dispositivos cuando se accede a la ruta de configuración.
  • CVE-2026-20902: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en el campo del nombre del archivo del mapa durante la acción de carga del mapa de la ruta de parámetros.
  • CVE-2026-24695: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en los campos de argumentos de OpenSSL dentro de las solicitudes enviadas a la ruta de la utilidad.
  • CVE-2026-25105: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto inyectando entradas maliciosas en los parámetros de la herramienta de comandos Modbus en la ruta de depuración.
  • CVE-2026-24452: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto proporcionando un archivo de plantilla creado específicamente para ello a la ruta de los dispositivos.
  • CVE-2026-23702: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto enviando entradas maliciosas inyectadas en el campo de nombre de usuario del servidor de la acción de preconfiguración de importación en la ruta API V1.
  • CVE-2026-25721: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la inyección de entradas maliciosas en los campos de nombre de usuario y/o contraseña del servidor de la acción de restauración en la ruta API V1.
  • CVE-2026-20764: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto proporcionando entradas maliciosas a través de la configuración del nombre de host del dispositivo, que posteriormente se procesa durante la configuración del sistema, lo que da lugar a la ejecución de código remoto.
  • CVE-2026-25196: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la inyección de entradas maliciosas en los campos SSID y/o contraseña de la red WiFi, lo que puede dar lugar a la ejecución de código remoto cuando se procesa la configuración.
  • CVE-2026-25037: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto mediante la configuración de un estado LCD malicioso que posteriormente se procesa durante la configuración del sistema.
  • CVE-2026-3037: inyección de comandos del sistema operativo, permite a un atacante autenticado ejecutar en el sistema código en remoto modificando entradas maliciosas inyectadas en la URL del servicio MBird SMS y/o en el código a través de la ruta de la utilidad, que posteriormente se procesa durante la configuración del sistema.

Múltiples vulnerabilidades en el sitio web de Chargemap

Fecha27/02/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones del sitio web de Chargemap, chargemap.com.

Descripción

Khaled Sarieddine y Mohammad Ali Sayed han informado sobre 4 vulnerabilidades: 1 de severidad crítica, 2 altas y 1 media. La explotación exitosa de estas vulnerabilidades podría permitir obtener control administrativo no autorizado sobre estaciones de carga o interrumpir los servicios de carga mediante denegaciones de servicio.

Solución

No hay solución reportada por el momento. Para tomar cualquier práctica de mitigación, se recomienda consultar los enlaces de las referencias o contactar con el fabricante.

Detalle
  • CVE-2026-25851: falta de autenticación adecuada en los endpoints WebSocket que podría permitir a atacantes no autenticados suplantar la identidad de estaciones no autorizadas y manipular los datos enviados al backend tras conectarse al endpoint WebSocket OCPP utilizando un identificador conocido o público y poder emitir o recibir comandos OCPP como si fuera un cargador legítimo. Esto puede permitir a su vez la escalada de privilegios, el control no autorizado de la infraestructura o la corrupción de los datos de la red.
  • CVE-2026-20792: falta de restricciones en el número de solicitudes de autenticación en la interfaz de programación de aplicaciones WebSocket. Esto podría facilitar ataques de fuerza bruta o ataques de denegación de servicio, suprimiendo o enrutando incorrectamente la telemetría legítima del cargador.
  • CVE-2026-25711: identificadores de sesión predecibles en el backend de WebSocket ya que este utiliza identificadores de estaciones de carga para asociar sesiones permitiendo que varios endpoints se conecten utilizando el mismo identificador. Esto podría permitir a atacantes no autenticados se autentiquen como otros usuarios, provocar denegaciones de servicio, y facilitar el secuestro o shadowing de sesiones.

La vulnerabilidad de severidad media se la identifica con el código CVE-2026-20791.