Instituto Nacional de ciberseguridad. Sección Incibe

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en ScadaBR de ScadaBR
  • Función peligrosa expuesta en cámaras de videovigilancia de ZKTeco

Múltiples vulnerabilidades en ScadaBR de ScadaBR

Fecha20/05/2026
Importancia5 - Crítica
Recursos Afectados

ScadaBR 1.2.0

Descripción

Arad Inbar, Nir Somech, Ben Grinberg, Daniel Lubel, Erez Cohen, y Adiel Sol de DREAM han reportado 4 vulnerabilidades: 1 de severidad crítica, 2 altas y una media que podrían permitir a un atacante ejecutar código de forma remota sin autenticación.

Solución

Por el momento no existe solución.

Se recomienda contactar con la entidad.

Detalle
  • CVE-2026-8602: ausencia de autenticación para una función crítica que podría permitir a un atacante, no autenticado, enviar solicitudes HTTP GET al sistema SCADA e inyectar lecturas arbitrarias de los sensores.
  • CVE-2026-8603: inyección de comandos del sistema operativo que podría permitir a un atacante ejecutar comandos como usuario root en el sistema SCADA.
  • CVE-2026-8604: CSRF que podría permitir a un atacante activar cualquier acción autenticada a través de la sesión de una víctima, atrayendo a cualquier usuario que haya iniciado sesión a una página web maliciosa.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-8605.

 


Función peligrosa expuesta en cámaras de videovigilancia de ZKTeco

Fecha20/05/2026
Importancia5 - Crítica
Recursos Afectados

ZKTeco SSC335-GC2063-Face-0b77 Solution:  versiones anteriores a la 5.0.1.2.20260421.

Descripción

Souvik Kandar ha informado de una vulnerabilidad de severidad crítica que podría dar lugar a una  divulgación de información, incluyendo la captura de las credenciales de la cuenta de la cámara.

Solución

ZKTeco ha corregido esta vulnerabilidad en la versión de firmware V5.0.1.2.20260421.

Detalle

CVE-2026-8598: Algunos modelos de cámaras de videovigilancia ZKTeco disponen de un puerto de exportación de configuración no documentado. Este puerto no requiere autenticación y expone información crítica sobre la cámara, como los servicios abiertos y las credenciales de la cuenta.