Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9852)
    Severidad: CRÍTICA
    Fecha de publicación: 05/08/2017
    Fecha de última actualización: 20/04/2025
    ** EN DISPUTA ** Se ha descubierto un problema de gestión de contraseñas incorrecto en los productos de SMA Solar Technology. Existen contraseñas predeterminadas que rara vez se modifican. Las contraseñas de usuario casi siempre serán las predeterminadas. Se espera que las contraseñas de los instaladores sean predeterminadas o similares en todas las instalaciones realizadas por la misma empresa (pero a veces se cambian). Las cuentas de usuario ocultas tienen (al menos en algunos casos, aunque se requiere más investigación para probar esto para todas las cuentas de usuario ocultas) una contraseña fija para todos los dispositivos; nunca puede ser cambiada por un usuario. Existen otras vulnerabilidades que permiten a un atacante obtener las contraseñas de estas cuentas de usuario ocultas. NOTA: el proveedor informa de que no tiene ninguna influencia en la asignación de contraseñas y de que no existen contraseñas maestras globales con código duro. Además, sólo Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30 podrían verse afectados.
  • Vulnerabilidad en productos SMA Solar Technology (CVE-2017-9856)
    Severidad: BAJA
    Fecha de publicación: 05/08/2017
    Fecha de última actualización: 20/04/2025
    **EN DISPUTA** Se ha descubierto un problema en productos SMA Solar Technology. Las contraseñas interceptadas que se encuentran en de la comunicación SMAdata2+ se pueden descifrar con suma facilidad. Estas contraseñas se "cifran" empleando un algoritmo de cifrado muy sencillo. Esto permite que un atacante encuentre las contraseñas en texto plano y se autentique en el dispositivo. NOTA: El vendedor informa que únicamente podrían estar potencialmente afectados Sunny Boy TLST-21 y TL-21 y Sunny Tripower TL-10 y TL-30
  • Vulnerabilidad en Development/Evaluation Kits para PROFINET IO (CVE-2017-12741)
    Severidad: ALTA
    Fecha de publicación: 26/12/2017
    Fecha de última actualización: 20/04/2025
    Se ha identificado una vulnerabilidad en Development/Evaluation Kits para PROFINET IO: DK Standard Ethernet Controller, Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200, Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200P, SIMATIC Compact Field Unit, SIMATIC ET200AL, SIMATIC ET200M (incluidas las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN BA (incluidas las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN HF (incluidas las variantes SIPLUS), SIMATIC ET200MP IM155-5 PN ST (incluidas las variantes SIPLUS), SIMATIC ET200S (incluidas las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN BA (incluidas las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HA (incluidas las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HF (incluidas las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN HS (incluidas las variantes SIPLUS), SIMATIC ET200SP IM155-6 PN ST (incluidas las variantes SIPLUS), SIMATIC ET200ecoPN, 16DI, DC24V, 8xM12, SIMATIC ET200ecoPN, 16DO DC24V/1,3A, 8xM12, SIMATIC ET200ecoPN, 4AO U/I 4xM12, SIMATIC ET200ecoPN, 8 DIO, DC24V/1,3A, 8xM12, SIMATIC ET200ecoPN, 8 DO, DC24V/2A, 8xM12, SIMATIC ET200ecoPN, 8AI RTD/TC 8xM12, SIMATIC ET200ecoPN, 8AI; 4 U/I; 4 RTD/TC 8xM12, SIMATIC ET200ecoPN, 8DI, DC24V, 4xM12, SIMATIC ET200ecoPN, 8DI, DC24V, 8xM12, SIMATIC ET200ecoPN, 8DO, DC24V/0,5A, 4xM12, SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 4xM12, SIMATIC ET200ecoPN, 8DO, DC24V/1,3A, 8xM12, SIMATIC ET200ecoPN: IO-Link Master, SIMATIC ET200pro, SIMATIC PN/PN Coupler (incluidas las variantes SIPLUS NET), familia SIMATIC S7-1200 CPU (incluidas las variantes SIPLUS), familia SIMATIC S7-1500 CPU (incluyendo las variantes relacionadas ET200 CPUs y SIPLUS), SIMATIC S7-1500 Software Controller, SIMATIC S7-200 SMART, familia SIMATIC S7-300 CPU (incluyendo las variantes relacionadas ET200 CPUs y SIPLUS), SIMATIC S7-400 H V6 CPU familia y posteriores (incluidas las variantes SIPLUS), SIMATIC S7-400 PN/DP V6 CPU familia y posteriores (incluidas las variantes SIPLUS), familia SIMATIC S7-400 PN/DP V7 CPU (incluidas las variantes SIPLUS), familia SIMATIC S7-410 V8 CPU (incluidas las variantes SIPLUS), SIMATIC TDC CP51M1, SIMATIC TDC CPU555, SIMATIC WinAC RTX (F) 2010, SIMOCODE pro V EIP (incluidas las variantes SIPLUS), SIMOCODE pro V PN (incluidas las variantes SIPLUS), SIMOTION C, SIMOTION D (incluidas las variantes SIPLUS), SIMOTION D4xx V4.4 para SINAMICS SM150i-2 w. PROFINET (incluidas las variantes SIPLUS), SIMOTION P V4.4 and V4.5, SIMOTION P V5, SINAMICS DCM w. PN, SINAMICS DCP w. PN, SINAMICS G110M w. PN, SINAMICS G120(C/P/D) w. PN (incluidas las variantes SIPLUS), SINAMICS G130 V4.7 w. PN, SINAMICS G130 V4.8 w. PN, SINAMICS G150 V4.7 w. PN, SINAMICS G150 V4.8 w. PN, SINAMICS GH150 V4.7 w. PROFINET, SINAMICS GL150 V4.7 w. PROFINET, SINAMICS GM150 V4.7 w. PROFINET, SINAMICS S110 w. PN, SINAMICS S120 V4.7 SP1 w. PN (incluidas las variantes SIPLUS), SINAMICS S120 V4.7 w. PN (incluidas las variantes SIPLUS), SINAMICS S120 V4.8 w. PN (incluidas las variantes SIPLUS), SINAMICS S120 prior to V4.7 w. PN (incluidas las variantes SIPLUS), SINAMICS S150 V4.7 w. PN, SINAMICS S150 V4.8 w. PN, SINAMICS SL150 V4.7.0 w. PROFINET, SINAMICS SL150 V4.7.4 w. PROFINET, SINAMICS SL150 V4.7.5 w. PROFINET, SINAMICS SM120 V4.7 w. PROFINET, SINAMICS V90 w. PN, SINUMERIK 840D sl, SIRIUS Soft Starter 3RW44 PN. Los paquetes especialmente creados enviados al puerto 161/UDP podrían generar una condición de denegación de servicio. Los dispositivos afectados deben reiniciarse manualmente
  • Vulnerabilidad en PROFINET DCP (CVE-2017-2680)
    Severidad: ALTA
    Fecha de publicación: 11/05/2017
    Fecha de última actualización: 20/04/2025
    Los paquetes de difusión PROFINET DCP especialmente elaborados podrían causar una condición de denegación de servicio de los productos afectados en un segmento Ethernet local (capa 2). Se requiere la interacción humana para recuperar los sistemas. Las interfaces PROFIBUS no están afectadas
  • Vulnerabilidad en PROFINET DCP (CVE-2017-2681)
    Severidad: ALTA
    Fecha de publicación: 11/05/2017
    Fecha de última actualización: 20/04/2025
    Los paquetes PROFINET DCP especialmente diseñados que se envían en un segmento Ethernet local (capa 2) a un producto afectado podrían causar una condición de denegación de servicio de ese producto. Se requiere la interacción humana para recuperar el sistema. Las interfaces PROFIBUS no están afectadas. Esta vulnerabilidad sólo afecta a los SIMATIC HMI Multi Panels y HMI Mobile Panels, y a los dispositivos S7-300/S7-400