Instituto Nacional de ciberseguridad. Sección Incibe

Un nuevo aviso de SCI

Múltiples vulnerabilidades en productos de ABB

Fecha07/07/2026
Importancia4 - Alta
Recursos Afectados
  • APROL: versiones anteriores a R 4.4-01P5.
  • Todas las versiones de ABB Ability™ zenon (7.50, 7.60, 8.00, 8.10, 8.20, 11, 12, 14).
Descripción

ABB ha publicado una vulnerabilidad de severidad alta y a través de su filial B&R ha publicado 6 vulnerabilidades. De las cuales una es de severidad crítica otra de severidad alta y el resto son vulnerabilidades que afectan a componentes de terceros. En caso de ser explotadas, podrían permitir una divulgación de información, suplantación de identidad o escalada de privilegios.

Solución

Se recomienda actualizar a las versiones correspondientes:

  • APROL, R 4.4-01P5 o versiones sumeriores.
  • ABB Ability™ zenon: versión 11, compilación 400376; versión 12, compilación 407620; y versión 14, compilación 405141.
Detalle

Las vulnerabilidades más importantes de este aviso se describen a continuación:

  • CVE-2026-6900: validación incorrecta de certificados en el conector del servidor LDAP podría permitir a atacantes de red llevar a cabo ataques de tipo man-in-the-middle, lo que provocaría la divulgación de información o la suplantación de identidad.
  • CVE-2026-6901: ruta de búsqueda no confiable en el servidor web, podría permitir a atacantes locales autenticados elevar sus privilegios.
  • CVE-2025-8754: en la configuración predeterminada de la plataforma de software ABB zenon, el servicio zensyssrv.exe está configurado para iniciarse automáticamente. Para utilizar el servicio de transporte remoto, los usuarios deben configurar una contraseña con antelación. Sin embargo, la vulnerabilidad permite a atacantes no autorizados eludir los mecanismos de autenticación e iniciar de forma remota un reinicio del sistema sin la autorización correspondiente.