Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en Serial Device Servers de Moxa
  • Múltiples vulnerabilidades en productos de Rockwell Automation
  • Múltiples vulnerabilidades en Managed Ethernet Switches de Turck

Múltiples vulnerabilidades en Serial Device Servers de Moxa

Fecha17/06/2026
Importancia4 - Alta
Recursos Afectados

Serial Device Servers de Moxa:

  • NPort 6000 Series;
  • NPort 6100/6200 Series;
  • NPort 6400/6600 Series;
  • CN2600 Series;
  • NPort 6000-G2 Series;
  • NPort 6100-G2/6200-G2 Series;
  • NPort 6400-G2 Series;
  • NPort 6600-G2 Series;
  • NPort W2150A/W2250A Series;
  • NPort W2150A-W4/W2250-W4 Series.

Versiones afectadas:

  • Firmware v2.3 y anteriores;
  • Firmware v4.6 y anteriores;
  • Firmware v1.1.0 y anteriores;
  • Firmware v1.5 y anteriores;
Descripción

Artur Witek y Remi ONNO junto a Moxa han publicado 4 vulnerabilidades: 2 de severidad alta y 2 medias que, en caso de ser explotadas, podrían permitir a un atacante provocar una denegación de servicio (DoS), acceder a información sensible, ejecutar código arbitrario con privilegios elevados o alterar el funcionamiento de los dispositivos afectados.

Solución

El fabricante recomienda actualizar los dispositivos afectados a las versiones de firmware corregidas:

  • NPort 6000-G2 / 6100-G2 / 6200-G2 / 6400-G2 / 6600-G2: actualizar a firmware v1.2.0 o posterior.
  • NPort W2150A-W4-W2250A-W4: actualizar a firmware v1.5.1 o posterior.
  • CN2600: aplicar el parche de seguridad v4.6.11.
  • NPort 6000 / 6100 / 6200 / 6400 / 6600: aplicar el parche de seguridad v2.3.9.
Detalle
  • CVE-2026-10829: un desbordamiento de búfer basado en pila podría permitir a un atacante remoto autenticado ejecutar código arbitrario con privilegios de root, comprometiendo la confidencialidad, integridad y disponibilidad del dispositivo afectado.
  • CVE-2026-10825: validación insuficiente de entradas en la API WebSocket podría permitir a un atacante autenticado con privilegios bajos enviar solicitudes manipuladas y provocar una denegación de servicio (DoS) o un reinicio inesperado del dispositivo.
  • CVE-2026-10831: una autorización incorrecta en los comandos de señal break podría permitir a un atacante remoto no autenticado interrumpir comunicaciones serie activas y provocar una denegación de servicio (DoS).
  • CVE-2026-10828: vulnerabilidad de cadena de formato controlada externamente podría permitir a un atacante autenticado obtener información de memoria sensible y facilitar la evasión de mecanismos de protección del sistema.

Múltiples vulnerabilidades en productos de Rockwell Automation

Fecha17/06/2026
Importancia5 - Crítica
Recursos Afectados
  • FLEX I/O EtherNet/IP Adapters: 1794-AENTR y 1794-AENTRXT, firmware 2.012.
  • RSLinx Classic: versión 4.50.00 y anteriores.
  • FactoryTalk Historian SE: versión 11.00 y anteriores.
  • FactoryTalk Analytics PavilionX: catálogos: 9529-PV8DBENE, 95055-PV8BASET1T, 95055-PV8BASET1TPE, versión 7.00
  • CompactLogix 5370 L1, L2 y L3: firmware V36.
  • Compact GuardLogix 5370, ControlLogix 5570, GuardLogix 5570: versiones anteriores a 34.016, 35.015, 36.012 y 37.011 según el modelo.
Descripción

Rockwell Automation ha publicado 10 vulnerabilidades: 2 de severidad crítica, 7 altas y 1 media, en caso de ser explotadas podrían provocar acceso no autorizado, robo de cuentas, la pérdida de disponibilidad, un fallo grave e irrecuperable (MNRF), ejecutar operaciones privilegiadas, obtener un token de autenticación válido o crear paquetes maliciosos.

Solución
  • FLEX I/O EtherNet/IP Adapters: 1794-AENTR, 1794-AENTRXT: firmware V2.013 o posteriores.
  • RSLinx Classic: V4.50.00.
  • FactoryTalk Historian SE: V12.00.00.
  • FactoryTalk Analytics PavilionX: V7.01.
  • CompactLogix 5370: V38.011 o V34.016 y posteriores.
  • Compact GuardLogix 5370: V38.011 o V35.015 y posteriores.
  • ControlLogix 5570: V36.012 o posteriores.

  • GuardLogix 5570: V37.011 o posteriores

     

Detalle
  • CVE-2026-0647: vulnerabilidad crítica relacionada con la autenticación en el servidor web integrado del adaptador 1794-AENTR. Esta vulnerabilidad permite que un atacante, no autenticado, cambie la contraseña de la interfaz web del dispositivo mediante el envío de una solicitud HTTP GET manipulada a un punto final específico, sin necesidad de autenticación previa. De explotarse, esto podría provocar acceso no autorizado, robo de cuentas y la pérdida de disponibilidad del servidor web integrado del dispositivo.
  • CVE-2025-13036: vulnerabilidad crítica que permite omitir la autenticación en FactoryTalk Historian Site Edition. Al enviar continuamente solicitudes al punto final de inicio de sesión, un atacante podría obtener un token de autenticación válido.
  • CVE-2026-0646: vulnerabilidad de denegación de servicio en el adaptador 1794-AENTR debido a un manejo inadecuado de la memoria para las solicitudes del protocolo CIP. Esta vulnerabilidad podría provocar que el adaptador falle y pierda la conexión con sus módulos de E/S asociados, lo que requiere un reinicio manual para su recuperación.
  • CVE-2020-13573: vulnerabilidad de denegación de servicio en la funcionalidad del servidor Ethernet/IP de RSLinx Classic. Una solicitud de red especialmente diseñada podría provocar una denegación de servicio. Si se explota, la aplicación dejará de responder y no se recuperará automáticamente. El usuario deberá reiniciar manualmente RSLinx Classic para restablecer su funcionamiento normal.
  • CVE-2025-14272: problema de seguridad en Pavilion debido a una aplicación incorrecta de la autorización en los puntos finales de la API. Esta vulnerabilidad puede permitir que un usuario no autorizado ejecute operaciones privilegiadas, incluyendo la gestión de usuarios/roles y otras acciones administrativas.
  • CVE-2025-44019: los productos AVEVA PI Data Archive son vulnerables a una excepción no controlada que, de ser explotada, podría permitir a un usuario autenticado desactivar ciertos subsistemas necesarios de PI Data Archive, lo que provocaría una denegación de servicio. Dependiendo del momento en que se produzca el fallo, podrían perderse los datos presentes en las snapshots o la caché de escritura.
  • CVE-2025-36539: los productos AVEVA PI Data Archive son vulnerables a una excepción no controlada que, de ser explotada, podría permitir a un usuario autenticado desactivar ciertos subsistemas necesarios de PI Data Archive, lo que resultaría en una denegación de servicio.
  • CVE-2025-11694: problema de seguridad en 1769 controladores CompactLogix debido a la falta de validación de los números de secuencia y las direcciones IP de origen en el protocolo CIP. Esto permite a los atacantes aprovechar los ID de conexión expuestos en la interfaz web para realizar ataques de denegación de servicio, lo que provoca un fallo menor.
  • CVE-2026-11317: vulnerabilidad de seguridad por denegación de servicio en el producto afectado. Esta vulnerabilidad se origina en un fallo que se produce al enviar un mensaje CIP manipulado. Los dispositivos con menos memoria son más propensos a verse afectados. Esto puede provocar un fallo grave e irrecuperable (MNRF). Para recuperarse, es necesario descargar un programa.
  • CVE-2026-9307: vulnerabilidad de seguridad relacionada con la divulgación de información confidencial en los controladores CompactLogix afectados. El servidor web del controlador expone los ID de conexión CIP en la página web de diagnóstico, a los que puede acceder cualquier usuario no autenticado de la red. Un atacante podría utilizar esta información para crear paquetes maliciosos, lo que provocaría una denegación de servicio.

 

Múltiples vulnerabilidades en Managed Ethernet Switches de Turck

Fecha17/06/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones del firmware anteriores a 2.1.2.0:

  • TBEN-L4-SE-M2;
  • TBEN-L5-SE-M2;
  • TBEN-LL-SE-M2.
Descripción

CERT@VDE en coordinación con TURCK han publicado 2 vulnerabilidades: una de severidad crítica y otra alta que, en caso de ser explotadas, podía provocar un desbordamiento de búfer y el bloqueo del demonio o comprometer el sistema.

Solución

TURCK recomienda actualizar a la última versión de firmware 2.1.2.0, que corrige estas vulnerabilidades.

Detalle
  • CVE-2025-68615: restricción indebida de operaciones dentro de los límites de un búfer de memoria. net-snmp es una biblioteca de aplicaciones, herramientas y demonio SNMP. Un paquete especialmente diseñado dirigido al demonio snmptrapd de net-snmp podía provocar un desbordamiento de búfer y el bloqueo del demonio.
  • CVE-2026-5416: inyección de comandos del sistema operativo. Debido a la neutralización incorrecta de elementos especiales utilizados en un parámetro de nombre, un atacante remoto con bajos privilegios puede explotar una vulnerabilidad de inyección de comandos en el conmutador Ethernet administrado, lo que resulta en el compromiso total del sistema.