Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ocho nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en productos de MB connect line GmbH
  • Múltiples vulnerabilidades en NMP Web+ de MICROSENS
  • Múltiples vulnerabilidades en productos de Helmholz
  • Múltiples vulnerabilidades en CNCSoft de Delta Electronics
  • Múltiples vulnerabilidades en Navis N4 de Kaleris
  • Múltiples vulnerabilidades en iDSecure on-premises de ControlID
  • Cross-Site Scripting (XSS) en AccuWeather y Custom RSS de Parsons
  • Múltiples vulnerabilidades en productos Hitachi

Múltiples vulnerabilidades en productos de MB connect line GmbH

Fecha25/06/2025
Importancia4 - Alta
Recursos Afectados

Versiones anteriores a la 2.18.0 (CVE-2025-3090 y CVE-2025-3092) y 2.16.5 (CVE-2025-3091) para:

  • mbCONNECT24;
  • mymbCONNECT24.
Descripción

CERT@VDE en coordinación con MB connect line GmbH ha informado sobre 3 vulnerabilidades de severidad alta que podría provocar una divulgación de información de nombres de usuario y dispositivo, ataques de denegación de servicio (DoS), enumeración de usuarios y omisión de contraseñas.

Solución

Actualizar a las últimas versiones: 2.16.5 y 2.18.0.

Detalle

Las vulnerabilidades se describen de la siguiente forma:

  • Un atacante remoto, no autenticado, puede obtener información confidencial limitada y/o atacar el dispositivo debido a la falta de autenticación para una función crítica. Se ha asignado el identificador CVE-2025-3090 para esta vulnerabilidad.
  • Un atacante en posesión del segundo factor de un usuario puede iniciar sesión como ese usuario sin conocer la contraseña (primer factor). Se ha asignado el identificador CVE-2025-3091 para esta vulnerabilidad.
  • Un punto final no protegido puede usarse para enumerar nombres de usuario válidos. Se ha asignado el identificador CVE-2025-3092 para esta vulnerabilidad.

Múltiples vulnerabilidades en NMP Web+ de MICROSENS

Fecha25/06/2025
Importancia5 - Crítica
Recursos Afectados
  • NMP Web+, versión 3.2.5 y anteriores.
Descripción

Tomer Goldschmidt y Noam Moshe de Claroty Team82 han descubierto 3 vulnerabilidades, 2 de severidad crítica y 1 alta que, en caso de ser explotadas, podrían permitir a un atacante obtener acceso al sistema, sobrescribir ficheros o ejecutar código arbitrario.

Solución

Actualizar NMP Web+ a la versión 3.3.0 para Windows y Linux.

Detalle

Las vulnerabilidades son:

  • CVE-2025-49151: uso de constantes relevantes para la seguridad incrustadas en el código. El producto puede permitir a un atacante, no autenticado, generar Tokens Web JSON (JWT, JSON Web Tokens) falsificados para omitir la autenticación. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49153: limitación inadecuada de nombre de ruta a un directorio restringido. El producto puede permitir a un atacante, no autenticado, sobrescribir ficheros y ejecutar código arbitrario. Esta vulnerabilidad está catalogada como de severidad crítica.
  • CVE-2025-49152: expiración de sesión insuficiente. El producto tiene Tokens Web JSON (JWT, JSON Web Tokens) que no caducan, lo que puede permitir a un atacante obtener acceso al sistema. Esta vulnerabilidad está catalogada como de severidad alta.

Múltiples vulnerabilidades en productos de Helmholz

Fecha25/06/2025
Importancia4 - Alta
Recursos Afectados

Versiones anteriores a la 2.18.0 (CVE-2025-3090 y CVE-2025-3092) y 2.16.5 (CVE-2025-3091) para:

  • myREX24;
  • myREX24.virtual.
Descripción

CERT@VDE ha coordinado con Helmholz 3 vulnerabilidades de severidad alta que podrían provocar la divulgación de información de nombres de usuario y dispositivo, ataques de denegación de servicio (DoS), enumeración de usuarios y omisión de contraseñas.

Solución

Actualizar a las últimas versiones: 2.16.5 y 2.18.0.

Detalle

Las vulnerabilidades se describen de la siguiente forma:

  • Un atacante remoto, no autenticado, puede obtener información confidencial limitada y/o atacar el dispositivo debido a la falta de autenticación para una función crítica. Se ha asignado el identificador CVE-2025-3090 para esta vulnerabilidad.
  • Un atacante en posesión del segundo factor de un usuario puede iniciar sesión como ese usuario sin conocer la contraseña (primer factor). Se ha asignado el identificador CVE-2025-3091 para esta vulnerabilidad.
  • Un punto final no protegido puede usarse para enumerar nombres de usuario válidos. Se ha asignado el identificador CVE-2025-3092 para esta vulnerabilidad.

Múltiples vulnerabilidades en CNCSoft de Delta Electronics

Fecha25/06/2025
Importancia4 - Alta
Recursos Afectados

CNCSoft: v1.01.34 y anteriores.

Descripción

Natnael Samson en colaboración con Trend Micro Zero Day Initiative, ha reportado 4 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante ejecutar código dentro del contexto del proceso actual.

Solución

Delta Electronics no tiene previsto solucionar estas vulnerabilidades porque los productos CNC de la serie A compatibles con CNCSoft han dejado de fabricarse. CNCSoft se eliminará del Centro de descargas de Delta.

Delta recomienda a los usuarios migrar a productos CNC Delta más recientes junto con su software correspondiente lo antes posible.

Detalle

Delta Electronics CNCSoft no valida correctamente los archivos proporcionados por el usuario. Si un usuario abre un archivo malicioso, un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.

Se han asignado los identificadores CVE-2025-47724, CVE-2025-47725, CVE-2025-47726 y CVE-2025-47727 para esta vulnerabilidad.

Múltiples vulnerabilidades en Navis N4 de Kaleris

Fecha25/06/2025
Importancia5 - Crítica
Recursos Afectados

Navis N4: versiones anteriores a la 4.0.

Descripción

Kaleris ha informado sobre 2 vulnerabilidades de severidades crítica y media que podrían permitir a un atacante explotar remotamente el sistema operativo, lograr la ejecución remota de código o extraer información confidencial.

Solución

Kaleris recomienda a los usuarios actualizar a las siguientes versiones o posteriores:

  • Navis N4: Versión 3.1.44+.
  • Navis N4: Versión 3.2.26+.
  • Navis N4: Versión 3.3.27+.
  • Navis N4: Versión 3.4.25+.
  • Navis N4: Versión 3.5.18+.
  • Navis N4: Versión 3.6.14+.
  • Navis N4: Versión 3.7.0+.
  • Navis N4: Versión 3.8.0+.

En caso de no poder actualizar a las versiones correctoras indicadas, se recomienda seguir la medidas de mitigación descritas en el aviso oficial enlazado en referencias.

Detalle

Kaleris NAVIS N4 ULC (Cliente Ultraligero) contiene una vulnerabilidad crítica de deserialización de Java insegura. Un atacante no autenticado puede realizar solicitudes especialmente diseñadas para ejecutar código arbitrario en el servidor. Se ha asignado el identificador CVE-2025-2566 para esta vulnerabilidad.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-5087.

Múltiples vulnerabilidades en iDSecure on-premises de ControlID

Fecha25/06/2025
Importancia5 - Crítica
Recursos Afectados

iDSecure on-premises: versiones 4.7.48.0 y anteriores.

Descripción

Noam Moshe, de Claroty Team82, ha reportado 3 vulnerabilidades: 1 de severidad crítica y 2 de severidad alta, cuya explotación podría permitir a un atacante saltarse la autenticación, recuperar información, filtrar datos arbitrarios o realizar inyecciones SQL.

Solución

Actualizar a la versión 4.7.50.0 de iDSecure on-premises.

Detalle
  • La vulnerabilidad crítica, de inyección SQL, podría permitir a un atacante filtrar información arbitraria e insertar sintaxis SQL arbitraria en consultas SQL. Se ha asignado el identificador CVE-2025-49853 para esta vulnerabilidad.
  • Vulnerabilidad alta, de autenticación incorrecta, podría permitir a un atacante saltarse la autenticación y obtener permisos en el producto. Se ha asignado el identificador CVE-2025-49851 para esta vulnerabilidad.
  • Vulnerabilidad alta, de falsificación de petición del lado del servidor, podría permitir a un atacante, no autenticado, recuperar información de otros servidores. Se ha asignado el identificador CVE-2025-49852 para esta vulnerabilidad.

Cross-Site Scripting (XSS) en AccuWeather y Custom RSS de Parsons

Fecha25/06/2025
Importancia4 - Alta
Recursos Afectados

Están afectadas las siguientes versiones de AccuWeather y Custom RSS widget:

  • Parsons Utility Enterprise Data Management: versión 5.18;
  • Parsons Utility Enterprise Data Management: versión 5.03;
  • Parsons Utility Enterprise Data Management: versiones 4.02 hasta 4.26;
  • Parsons Utility Enterprise Data Management: versión 3.30;
  • AclaraONE Utility Portal: versiones anteriores a 1.22.
Descripción

Joshua Dillon ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante insertar un enlace malicioso al que los usuarios podrían acceder a través de la fuente RSS.

Solución
  • Para Parsons Utility Enterprise Data Management y AclaraONE Hosted, la vulnerabilidad ha sido parcheada en todas las instancias gestionadas por Parsons a partir del 7 de enero de 2025. No se requiere ninguna acción por parte del usuario final.
  • Para AclaraONE On Premise se requiere acción por parte del usuario final. El parche y la información de mitigación para AclaraONE están disponibles a través del Portal del Cliente de Aclara Connect. Los usuarios pueden solicitar una cita para aplicar la actualización del parche abriendo un ticket en el Portal de Clientes de Aclara Connect, o poniéndose en contacto con nosotros por teléfono o correo electrónico.
Detalle

Existe una vulnerabilidad de Cross-Site Scripting (XSS) en Custom RSS widget y en AccuWeather, que permite a un usuario, no autenticado, sustituir la URL del canal RSS por una maliciosa. Se ha asignado el identificador CVE-2025-5015 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos Hitachi

Fecha25/06/2025
Importancia4 - Alta
Recursos Afectados

En función de la vulnerabilidad los recursos afectados son los siguientes:

  • CVE-2025-2403:
    • Relion 670/650 series versiones desde la 2.2.6.0 hasta la 2.2.6.2, y versión 2.2.4.4;
    • Relion 670/650 y SAM600-IO series versión 2.2.5.6;
    • Relion 670 series versiones 2.2.3.7 y 2.2.2.6;
  • CVE-2025-39201, CVE-2025-39202 y CVE-2025-39204:
    • MicroSCADA X SYS600 versiones desde la 10.0 hasta la 10.6;
  • CVE-2025-39203:
    • MicroSCADA X SYS600 versiones desde la 10.5 hasta la 10.6;
  • CVE-2025-39205:
    • MicroSCADA X SYS600 versiones desde la 10.3 hasta la 10.6;
  • CVE-2020-11022:
    • MSM 2.2.9 y anteriores;
  • CVE-2025-1718:
    • Relion 670/650 series, versión 2.2.6 hasta la revisión 2.2.6.3;
    • Relion 670/650 y SAM600-IO series, versión 2.2.5 hasta la revisión 2.2.5.7;
    • Relion 670/650 series, versión 2.2.4 hasta la revisión 2.2.4.5;
    • Relion 670 series, versión 2.2.3 hasta la revisión 2.2.3.7;
    • Relion 670 series, versión 2.2.2 hasta la revisión 2.2.2.6;
    • Relion 670/650 y SAM600-IO series, versión 2.2.1 hasta la revisión 2.2.1.8;
    • Relion 670/650 series, versión 2.2.0 hasta la revisión 2.2.0.13;
    • Relion 670/650 series, versión 2.1 todas las revisiones;
    • Relion 670 series, versión 2.0 todas las revisiones;
    • Relion 670/650 series, versión 1 todas las subversiónes y revisiones.
Descripción

Hitachi ha informado de 8 vulnerabilidades en sus productos, 6 de severidad alta y 2 media que, en caso de ser explotadas, podrían provocar una denegación de servicio, permitir leer y sobrescribir ficheros, facilitar información no autorizada al usuario, espiar la información en tránsito realizando un Man-in-the-Middle (MitM), ejecutar código no confiable y reiniciar el dispositivo.

Solución

Para los siguientes productos, actualizar a la última versión:

  • Relion 670/650 series versiones desde la 2.2.6.0 hasta la 2.2.6.2, y versión 2.2.4.4;
  • Relion 670/650 y SAM600-IO series versión 2.2.5.6;
  • MicroSCADA X SYS600.

Para el resto de productos, actualmente no hay una actualización disponible. Se recomienda aplicar las siguientes medidas de mitigación:

Tener configurada la red siguiendo las recomendaciones de ciberseguridad de configuración de redes, así como aplicar las prácticas de ciberseguridad habituales. Estas recomendaciones incluyen que los sistemas de control de procesos estén protegidos físicamente del acceso directo por  personal no autorizado, no tengan conexiones directas a Internet, y estén separados de otras redes mediante un sistema de cortafuegos que tenga los mínimos puertos autorizados. Los sistemas de control de procesos no deben utilizarse para
navegar por Internet, enviar mensajes instantáneos o recibir correos electrónicos. Se debe analizar detalladamente los ordenadores portátiles y los medios de almacenamiento extraíbles en busca de virus antes de conectarlos a un sistema de control. Deben seguirse políticas y procesos adecuados de contraseñas.

La instalación de los productos debe realizarse siguiendo la guía de dichos productos:

  • «Relion 670 series Version 2.2 IEC Cybersecurity deployment guideline». Para mitigar el riesgo, el servicio FTP puede deshabilitarse en los puntos de acceso identificados utilizando la Herramienta de Configuración Ethernet (ECT) en PCM600. Para otras series y versiones, se puede deshabilitar el servicio FTP en segmentos de red no deseados utilizando el control de acceso del cortafuegos.
  • «MicroSCADA cybersecurity deployment guideline»
  • MSM - 2GHV045871_2018-P-en-Modular Switchgear Monitoring (MSM), sección 3.9
  • Relion 670 series Version 2.2 IEC Cybersecurity deployment guideline
Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-2403: en el dispositivo de las series Relion 670/650 y SAM600-IO existe una vulnerabilidad de denegación de servicio (DoS) debida a una priorización incorrecta del tráfico de red sobre el mecanismo de protección que, si se explota, podría provocar el mal funcionamiento de funciones críticas como el módulo de comunicación LDCM (Line Distance).
  • CVE-2025-39202: la interfaz Monitor Pro del producto MicroSCADA X SYS600 tiene una vulnerabilidad que hace que un usuario autenticado con pocos privilegios pueda ver y sobrescribir archivos provocando una fuga de información y corrupción de datos.
  • CVE-2025-39203: IEC 61850 del producto MicroSCADA X SYS600 que hace que un mensaje manipulado IEC 61850-8 de IED o sistema remoto pueda provocar una denegación de servicio que resulte en bucle de desconexión.
  • CVE-2025-39204: la interfaz Web del producto MicroSCADA X SYS600 tiene una vulnerabilidad que permite que una consulta de filtrado en la interfaz Web pueda estar malformada, por lo que al devolver los datos de la consulta se pueda facilitar al usuario información que no está autorizado a consultar.
  • CVE-2025-39205: en el producto IEC 61850 en MicroSCADA X SYS600, la validación de certificados del protocolo TLS
    permiten el ataque remoto Man-in-the-Middle debido a la falta de validación adecuada.
  • CVE-2025-1718: un usuario autenticado con privilegios de acceso a archivos a través del acceso FTP puede hacer que el dispositivo de las series Relion 670/650 y SAM600-IO se reinicie debido a una gestión inadecuada del espacio en disco.

Las vulnerabilidades de severidad media tienen asignados los identificadores CVE-2025-39201 y CVE-2020-11022 y su detalle se puede consultar en los enlaces de las referencias.