Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de Hitachi
  • Vulnerabilidad de IOCTL en series de productos de Moxa

Múltiples vulnerabilidades en productos de Hitachi

Fecha08/04/2026
Importancia4 - Alta
Recursos Afectados
  • Hitachi Ops Center Common Services (versión en inglés), versiones para Linux anteriores a 11.0.8-00;
  • Hitachi Ops Center Common Services (versión en japonés), versiones para Windows anteriores a 11.0.8-00;
  • JP1/IT Desktop Management 2 - Manager y JP1/IT Desktop Management 2 - Operations Director, en las versiones para Windows 13-50 a 13-50-01, 13-11 a 13-11-03, 13-10 a 13-10-06, 13-01 a 13-01-06, 13-00 a 13-00-04, 12-60 a 12-60-11, 12-50 a 12-50-11, 12-10 a 12-10-12, 12-00 a 12-00-09, 11-51 a 11-51-10, 11-50 a 11-50-08, 11-10 a 11-10-10, 11-01 a 11-01-12, 11-00 a 11-00-11, 10-50 a 10-50-12;
  • Job Management Partner 1/IT Desktop Management 2 - Manager, versiones para Windows de la 10-50 hasta 10-50-11;
  • JP1/IT Desktop Management - Manager, en las versiones para Windows 10-10 a 10-10-16, 10-02 a 10-02-05, 10-01 a 10-01-05, 10-00 a 10-00-02, 09-51 a 09-51-05, 09-50 a 09-50-03;
  • Job Management Partner 1/IT Desktop Management - Manager, versiones para Windows de la 10-10 a 10-10-16, 10-01 a 10-01-06, 09-50 a 09-50-03;
  • JP1/NETM/DM Manager y JP1/NETM/DM Client, en las versiones para Windows en las versiones para Windows 10-20 a 10-20-02, 10-10 a 10-10-25, 09-51 a 09-51-14, 09-50 a 09-50-20, 09-12 a 09-12-16, 09-10 a 09-10-15, 09-01 a 09-01-14, 09-00 a 09-00-14;
  • Job Management Partner 1/Software Distribution Manager y Job Management Partner 1/Software Distribution Client, en las versiones para Windows 09-51 a 09-51-13, 09-50 a 09-50-09, 09-00 a 09-00-09.
Descripción

Hitachi ha informado de 11 vulnerabilidades, 5 altas, 3 medias y 3 bajas. En caso de que alguna de estas vulnerabilidades fuese explotada, podrían permitir a un atacante ejecutar código en remoto o causar un desbordamiento de búfer, entre otros.

Solución

Se recomienda actualizar a alguna de las siguientes versiones de los productos afectados:

  • Hitachi Ops Center Common Services (versión en inglés), versión 11.0.8-00;
  • Hitachi Ops Center Common Services (versión en japonés), versión 11.0.8-00;
  • JP1/IT Desktop Management 2 - Manager y JP1/IT Desktop Management 2 - Operations Director, versiones 13-50-03, 13-11-04, 13-10-07, 13-01-07, 13-00-05, 12-60-12;
  • JP1/NETM/DM Manager y JP1/NETM/DM Client, versión 10-30.
Detalle

CVE-2025-65115: vulnerabilidad de ejecución remota de código en varias versiones de JP1/IT Desktop Management 2, Job Management Partner 1, y JP1/NETM/DM en plataformas Windows. Esta vulnerabilidad podría permitir a un atacante ejecutar código malicioso de manera remota.

CVE-2025-8714: vulnerabilidad en 'pg_dump' de PostgreSQL permite que un superusuario malicioso inyecte código arbitrario durante la restauración de un volcado, ejecutándose con los privilegios del sistema operativo.

CVE-2025-8715: vulnerabilidad en 'pg_dump' de PostgreSQL permite que un usuario del servidor de origen inyecte código arbitrario durante la restauración, ejecutándose con los privilegios del sistema operativo cliente. Además, los ataques pueden permitir inyección SQL como superusuario en el servidor de destino.

CVE-2025-41248: vulnerabilidad en Spring Security puede causar que las anotaciones de seguridad, como @PreAuthorize, no se resuelvan correctamente en métodos dentro de jerarquías de tipos con supertipos parametrizados con genéricos no acotados, lo que puede permitir una evitación de la autorización.

CVE-2025-41249: vulnerabilidad en Spring Framework puede causar que no se resuelvan correctamente las anotaciones en métodos dentro de jerarquías de tipos con supertipos parametrizados y genéricos no acotados, afectando las decisiones de autorización.

A las demás vulnerabilidades se les han asignado los siguientes identificadores: CVE-2025-65116, CVE-2024-4028, CVE-2026-1190, CVE-2025-12818, CVE-2025-12817 y CVE-2025-10044.

Vulnerabilidad de IOCTL en series de productos de Moxa

Fecha08/04/2026
Importancia4 - Alta
Recursos Afectados

Las siguientes series de productos. Para ver las versiones afectadas acceda al enlace de las referencias.

  • Serie BXP-A100;
  • Serie BXP-A101;
  • Serie BXP-C100;
  • Serie DA-680;
  • Serie DA-820E;
  • Serie DA-681C;
  • Serie DA-682C;
  • Serie DA-720;
  • Serie DA-820C;
  • Serie DRP-A100;
  • Serie DRP-C100;
  • Serie MC-1100;
  • Serie MC-1200;
  • Serie MC-3201;
  • Serie MC-7400;
  • Serie V2201;
  • Serie V2403C;
  • Serie V2406C;
  • Serie V3200
  • Serie V3400;
  • Serie RKP-A110;
  • Serie RKP-C110;
  • Serie RKP-C220;
  • Serie EXPC-F2120W;
  • Serie EXPC-F2150W;
  • Serie MPC-2070;
  • Serie MPC-2101;
  • Serie MPC-2120;
  • Serie MPC-2121;
  • Serie MPC-3070W;
  • Serie MPC-3100;
  • Serie MPC-3120;
  • Serie MPC-3120W;
  • Serie MPC-3150;
  • Serie MPC-3150W.
Descripción

Jason Huang de TXOne Network Inc  ha informado sobre 1 vulnerabilidad de severidad alta que, en caso de ser explotada podría permitir a un atacante comprometer la disponibilidad de los dispositivos afectados.

Solución

Póngase en contacto con el soporte técnico de Moxa para obtener el parche de seguridad. Para ello, se recomienda revisar el enlace de las referencias.

Detalle

CVE-2026-4483: vulnerabilidad en la utilidad MxGeneralIo de los ordenadores industriales x86 de Moxa, que expone métodos IOCTL con control de acceso insuficiente, permitiendo la lectura y escritura directa en la memoria MSR y del sistema. Un atacante local con privilegios elevados podría explotar esta vulnerabilidad para realizar operaciones no autorizadas, escalando privilegios o causando fallos del sistema en Windows 7, 10 y 11, pudiendo afectar a la disponibilidad de los dispositivos.