Un nuevo aviso de SCI y una actualización
Índice
- Múltiples vulnerabilidades en productos de Voltronic Power y PowerShield
- [Actualización 02/07/2025] Múltiples vulnerabilidades en PiCtory de Pilz industrial PC IndustrialPI
Múltiples vulnerabilidades en productos de Voltronic Power y PowerShield
- Voltronic Power Viewpower: versión 1.04-24215 y anteriores;
- Voltronic Power ViewPower Pro: versión 2.2165 y anteriores;
- Powershield NetGuard: versión 1.04-22119 y anteriores.
Se ha informado de 2 vulnerabilidades de severidad crítica que podrían permitir que un atacante, no autenticado, realice cambios de configuración de forma remota, lo que provocaría el apagado de los dispositivos conectados al SAI o la ejecución de código arbitrario.
Por el momento, no existe solución para Voltronic.
Powershield ha proporcionado una solución en las versiones 1.04-23292 y posteriores de NetGuard.
- Vulnerabilidad de tipo método o función peligrosa expuesta. Una función subyacente crítica relacionada con las gestión del SAI está expuesta en la red sin que realice una autenticación ni autorización del usuario, lo que permite a un atacante usarla para ejecutar código arbitrario inmediatamente, independientemente del estado o la presencia del SAI gestionado. Se ha asignado el identificador CVE-2022-31491 para esta vulnerabilidad.
- Vulnerabilidad de tipo solicitud directa. Un atacante remoto, no autenticado, puede realizar cambios en el sistema, como cambiar la contraseña de administrador de la interfaz web, ver o modificar la configuración del sistema, o enumerar y apagar los dispositivos SAI conectados. Se ha asignado el identificador CVE-2022-43110 para esta vulnerabilidad.
[Actualización 02/07/2025] Múltiples vulnerabilidades en PiCtory de Pilz industrial PC IndustrialPI
Pilz Software PiCtory, versiones anteriores a la 2.12.
[Actualización 02/07/2025]
- IndustrialPI 4 con Firmware Bullseye, versión 2024-08 y anteriores;
- IndustrialPI 4 con IndustrialPI webstatus, versiones anteriores a 2.4.6.
CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de severidad crítica y 1 media que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).
Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes 'apt'.
Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos 'sudo apt update && sudo apt upgrade -y'.
Para comprobar la versión del paquete PiCtory, introducir el comando 'dpkg -l | grep pictory'.
Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.
[Actualización 02/07/2025]
Para el producto IndustrialPI 4 con IndustrialPI webstatus actualizar su paquete a la versión 2.4.6 usando el gestor de paquetes 'apt'.
Para el producto IndustrialPI 4 con Firmware Bullseye seguir las indicaciones del PDF de soluciones del fabricante (acceso con registro).
Las vulnerabilidades de severidad crítica son:
- CVE-2025-32011: PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.
- CVE-2025-35996: en Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-36558 y su detalle puede consultarse en las referencias.
[Actualización 02/07/2025]
Las dos nuevas vulnerabilidades críticas son:
- CVE-2025-41648: Un atacante remoto no autenticado puede eludir el registro a la aplicación web del dispositivo afectado y acceder y modificar las configuraciones disponibles en IndustrialPI.
- CVE-2025-41656: Un atacante remoto no autenticado puede ejecutar comandos arbitrarios en los dispositivos afectados con grandes privilegios porque la autenticación para el servidor Node_RED no está configurada por defecto.