Instituto Nacional de ciberseguridad. Sección Incibe

Un nuevo aviso de SCI

Múltiples vulnerabilidades en Arena® Simulation de Rockwell Automation

Fecha10/07/2025
Importancia4 - Alta
Recursos Afectados

Software - Arena®: versiones 16.20.08 y anteriores.

Descripción

 Zero Day Initiative ha informado a Rockwell Automation sobre dos vulnerabilidades de severidad alta que podría permitir ejecutar código arbitrario en el sistema objetivo.

Solución

Actualizar a la versión v16.20.09 o posteriores.

Detalle

Se han identificado dos vulnerabilidades de ejecución remota de código en el producto afectado. Un archivo DOE especialmente manipulado puede hacer que el software escriba fuera de los límites de un objeto asignado en memoria. Para que estas vulnerabilidades sean explotadas, se requiere la interacción del usuario, como abrir un archivo malicioso dentro del software. Si se explotan con éxito, un atacante podría ejecutar código arbitrario en el sistema objetivo. El impacto puede ser aún mayor si el software se ejecuta con privilegios de administrador. Se han asignado los identificadores  CVE-2025-6376 y CVE-2025-6377 para estas vulnerabilidades.