Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Avisos de seguridad de Siemens de julio 2025
  • Múltiples vulnerabilidades en ValveLink de Emerson

Avisos de seguridad de Siemens de julio 2025

Fecha08/07/2025
Importancia5 - Crítica
Recursos Afectados

Están afectados los siguientes productos o familias de productos:

  • SINEC NMS;
  • Solid Edge SE2025;
  • TIA Project-Server;
  • Totally Integrated Automation Portal (TIA Portal);
  • TIA Administrator;
  • SIMATIC CN 4100;
  • SIPROTEC 5;
  • Desigo CC;
  • SENTRON powermanager.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.

Solución

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido 9 nuevos avisos de seguridad, recopilando un total de 19 vulnerabilidades de distintas severidades, entre ellas 2 críticas que se describen a continuación:

  • CVE-2025-24813: afecta a Apache Tomcat y su explotación podría provocar una ejecución remota de código, revelación de información o contenido malicioso añadido a los archivos subidos.
  • CVE-2025-40736: SINEC NMS expone un endpoint que permite una modificación, no autorizada, de las credenciales de administrador. Esto podría permitir a un atacante, no autenticado, restablecer la contraseña de superadmin y obtener el control total de la aplicación.

Para el resto de vulnerabilidades no críticas se pueden ver los detalles e identificadores en las referencias.

Múltiples vulnerabilidades en ValveLink de Emerson

Fecha09/07/2025
Importancia5 - Crítica
Recursos Afectados

Todas las versiones anteriores a ValveLink 14.0:

  • ValveLink SOLO;
  • ValveLink DTM;
  • ValveLink PRM;
  • ValveLink SNAP-ON.
Descripción

Emerson ha informado sobre 5 vulnerabilidades: 1 de severidad crítica, 2 altas y 2 medias que podría permitir a un atacante con acceso al sistema, leer información confidencial almacenada en texto claro, alterar parámetros y ejecutar código no autorizado.

Solución

Emerson recomienda a los usuarios actualizar su software a ValveLink 14.0 o posterior.

Detalle

La vulnerabilidad de severidad crítica almacena en texto plano información sensible en memoria. Esta podría guardarse en disco, almacenarse en un volcado de memoria, o permanecer sin borrar si el producto falla o si el programador no la borra correctamente antes de liberarla. Se ha asignado el identificador CVE-2025-52579  para esta vulnerabilidad.

Una de las vulnerabilidades de severidad alta, también almacena información sensible en texto claro dentro de un recurso al que puede acceder otra esfera de control. Se ha asignado el identificador CVE-2025-50109 para esta vulnerabilidad.

La otra vulnerabilidad de severidad alta no utiliza o utiliza incorrectamente un mecanismo de protección que proporcione suficiente defensa contra ataques dirigidos contra el producto. Se ha asignado el identificador CVE-2025-46358 para esta vulnerabilidad.