Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cinco nuevos avisos de SCI y una actualización

Índice

  • Lectura fuera de límites en Pro 3EM de Shelly
  • Múltiples vulnerabilidades en Serv-U de SolarWinds
  • Múltiples vulnerabilidades en EWIO-2 de METZ CONECT
  • Múltiples vulnerabilidades en productos Schneider Electric
  • Ejecución de código malicioso en MILCO.S de Mitsubishi Electric
  • [Actualización 19/11/2025] Múltiples vulnerabilidades en productos Schneider

Lectura fuera de límites en Pro 3EM de Shelly

Fecha19/11/2025
Importancia4 - Alta
Recursos Afectados

Pro 3EM, todas las versiones.

Descripción

Gabriele Quagliarella de Nozomi Networks ha detectado esta vulnerabilidad de severidad alta que, en caso de ser explotada, podría provocar una condición de denegación de servicio.

Solución

Por el momento no existe una solución a este problema.

Se recomienda tener configurada de forma segura la red donde está instalado este dispositivo, para minimizar el riesgo de verse afectado por esta vulnerabilidad.

Detalle

Cuando un atacante envía una petición Modbus especialmente manipulada, puede provocar que el dispositivo acceda a una dirección de datos ilegal sin que el error sea gestionado de forma estándar. Esto puede provocar que el dispositivo se reinicie y dar lugar a una condición de denegación de servicio.

Se ha asignado el identificador CVE-2025-12056 a esta vulnerabilidad.

Múltiples vulnerabilidades en Serv-U de SolarWinds

Fecha19/11/2025
Importancia5 - Crítica
Recursos Afectados

SolarWinds Serv-U 15.5.2.2.102.

Descripción

SolarWinds ha publicado 3 vulnerabilidades de severidad crítica que podrían permitir a un atacante ejecutar código arbitrario.

Solución

Actualizar a la versión 15.5.3.

Detalle
  • CVE-2025-40547: vulnerabilidad de error lógico que, de ser explotada, podría permitir a un atacante con privilegios de administrador ejecutar código malicioso. Para explotar esta vulnerabilidad se requieren privilegios administrativos.
  • CVE-2025-40548: la ausencia de un proceso de validación en Serv U, si se explota, podría permitir que un atacante con privilegios de administrador ejecute código malicioso. Para explotar esta vulnerabilidad se requieren privilegios administrativos.
  • CVE-2025-40549: la vulnerabilidad permite omitir la restricción de rutas. Si se explota, un atacante con privilegios de administrador podría ejecutar código en un directorio. Para explotar esta vulnerabilidad se requieren privilegios administrativos. 

Múltiples vulnerabilidades en EWIO-2 de METZ CONECT

Fecha19/11/2025
Importancia5 - Crítica
Recursos Afectados
  • EWIO2-M con control de energía, firmware METZ CONNECT, versiones anteriores a 2.2.0;
  • EWIO2-M-BM de control de energía, firmware METZ CONNECT, versiones anteriores a 2.2.0;
  • Ethernet-IO EWIO2-BM, firmware METZ CONNECT, versiones anteriores a 2.2.0;
Descripción

Noam Moshe y Tomer Goldschmidt han informado sobre 5 vulnerabilidades catalogadas, 2 de ellas, con severidad crítica y 3 de severidad alta. Explotar esta vulnerabilidades podría permitir a un atacante omitir la autenticación, controlar el dispositivo o ejecutar código de forma remota.

Solución

Actualizar los firmware a su versión 2.2.0.

Detalle
  • CVE-2025-41734: inclusión remota de archivos en PHP que conduce a control inadecuado del nombre de archivo para la declaración 'include/require'. Explotar esta vulnerabilidad permitiría a un atacante remoto, no autenticado, ejecutar archivos PHP arbitrarios y obtener acceso completo a los dispositivos afectados.
  • CVE-2025-41733: omisión de autenticación mediante vulnerabilidad primaria. No se verifica si el dispositivo ya está inicializado. Un atacante remoto, no autenticado, podría crear solicitudes POST para establecer las credenciales de administrador.
  • CVE-2025-41736: recorrido de ruta: '.../...//'. Un atacante remoto con pocos privilegios tiene la posibilidad de cargar un script nuevo de Python o sobrescribir uno ya existente mediante un recorrido por la ruta del nombre del archivo objetivo en PHP, lo que podría lleva a la ejecución remota de código.
  • CVE-2025-41735: carga sin restricciones de archivos potencialmente peligrosos. Como consecuencia de la ausencia de verificación de archivos, un atacante remoto con pocos privilegios podría subir cualquier archivo a una ubicación arbitraria, lo que podría permitir la ejecución remota del código.
  • CVE-2025-41737: control de acceso inadecuado. Un atacante remoto, no autenticado, podría acceder al código fuente de los módulos PHP a raíz de que el servidor web está mal configurado.

Múltiples vulnerabilidades en productos Schneider Electric

Fecha19/11/2025
Importancia4 - Alta
Recursos Afectados
  • EcoStruxure Machine SCADA Expert: versiones anteriores a 2023.1 Patch 1.
  • Pro-face BLUE Open Studio: versiones anteriores a 2023.1 Patch 1.
  • Schneider Electric PowerChute Serial Shutdown: versiones 1.3 y anteriores.
Descripción

Schneider Electric ha informado sobre 4 vulnerabilidades de severidad alta. Su explotación podría permitir a un atacante descifrar información sensible, obtener privilegios elevados en el sistema o acceder de forma no autorizada a cuentas de usuario, entre otros.

Solución

Para la vulnerabilidad CVE-2025-9317, Schneider Electric recomienda actualizar a la versión 2023.1 Patch 1 de EcoStruxure Machine SCADA Expert y Pro-face BLUE Open Studio.

Para las vulnerabilidades CVE-2025-11565, CVE-2025-11566 y CVE-2025-11567, Schneider Electric recomienda actualizar PowerChute Serial Shutdown a la versión v1.4 o posterior. En el caso concreto de CVE-2025-11567, si el software está instalado en una carpeta personalizada. Se deben revisar y ajustar los permisos de dicha carpeta conforme a las indicaciones del Manual de Seguridad.

Detalle
  • CVE-2025-9317: esta vulnerabilidad usa algoritmos criptográficos débiles, lo que podría permitir a un ciberdelincuente descifrar datos sensibles o acceder a contraseñas contenidas en proyectos o archivos locales.
  • CVE-2025-11565: recorrido de rutas que podría causar acceso elevado al sistema cuando un usuario administrador web en la red local manipula la carga útil de la solicitud POST/REST/UpdateJRE.
  • CVE-2025-11566: restricción inadecuada de intentos de autenticación excesivos que podría permitir a un atacante en la red local obtener acceso a la cuenta del usuario realizando un número arbitrario de intentos de autenticación, con diferentes credenciales en el punto final /REST/shutdownnow.
  • CVE-2025-11567: vulnerabilidad en los permisos predeterminados incorrectos que podría causar acceso elevado al sistema cuando la carpeta de instalación de destino no está debidamente protegida.

Ejecución de código malicioso en MILCO.S de Mitsubishi Electric

Fecha19/11/2025
Importancia4 - Alta
Recursos Afectados
  • MILCO.S Setting Application, todas las versiones.
  • MILCO.S Setting Application (IR), todas las versiones.
  • MILCO.S Easy Setting Application (IR), todas las versiones.
  • MILCO.S Easy Switch Application(IR), todas las versiones.
Descripción

Kazuma Matsumoto ha informado sobre 1 vulnerabilidad de severidad alta relacionada con la ejecución de código malicioso. La explotación de esta vulnerabilidad permitiría a un atacante local ejecutar código malicioso haciendo que el instalador cargue una DLL maliciosa.

Solución

No todos los recursos afectados tienen solución por el momento. 

Para comprobar si el firmware ha sido corregido, revisar el aviso oficial enlazado las referencias.

Detalle

CVE-2025-10089: vulnerabilidad relacionada con la ejecución de código maliciosa a través del secuestro de DLL en la aplicación de configuración y funcionamiento del sistema de control de iluminación MILCO.S. Explotar esta vulnerabilidad podría permitir a un atacante ejecutar código malicioso haciendo que el instalador cargue una DLL maliciosa. Esta vulnerabilidad solo afecta cuando se ejecuta el instalador, una vez instalado no afecta.

[Actualización 19/11/2025] Múltiples vulnerabilidades en productos Schneider

Fecha13/08/2025
Importancia4 - Alta
Recursos Afectados

El listado de productos afectados es el siguiente; no obstante, cabe destacar que no todos los productos están afectados por todas las vulnerabilidades. Para más detalle consultar los enlaces de las referencias.

  • SESU, versiones anteriores a v3.0.12;
  • EcoStruxure Power Monitoring Expert, versiones 2022, 2023, 2024 y 2024 R2;
  • EcoStruxure Power Operation (EPO) Advanced Reporting and Dashboards Module: versiones 2022 y 2024 Advancing Reporting Module;
  • Saitel DR RTU, versiones 11.06.29 y 11.06.34 y anteriores;
  • Modicon M340;
  • BMXNOR0200H: Ethernet / Serial RTU Module;
  • BMXNGD0100: M580 Global Data module;
  • BMXNOC0401: Modicon M340 X80 Ethernet Communication modules;
  • BMXNOE0100: Modbus/TCP Ethernet Modicon M340 module, versiones anteriores a 3.60;
  • BMXNOE0110: Modbus/TCP Ethernet Modicon M340 FactoryCast module, versiones anteriores a 6.80.

 

Descripción

Los productos de Schneider Electric están afectados por 8 vulnerabilidades, 7 de severidad alta y 1 crítica que, en caso de ser explotadas, podrían permitir a un atacante remoto leer ficheros arbitrarios de la máquina objetivo o acceder de forma directa a servicios internos.

Solución

Siempre que sea posible, actualizar a la última versión. En algunos casos, la última versión no soluciona todas las vulnerabilidades sino solo algunas de ellas. Para el resto de vulnerabilidades el fabricante está trabajando en nuevos parches que las resuelvan.

Para más detalle de si un producto y versión concretas tienen parche, vulnerabilidades que se corrigen, sugerencias de actualización y sugerencias de mitigación mientras se resuelve la vulnerabilidad, se recomienda consultar los enlaces de las referencias.

Detalle

Las vulnerabilidades de severidad alta tienen los siguientes identificadores y tipo de vulnerabilidad:

  • CVE-2025-5296: Resolución inadecuada de enlace previo al acceso al fichero;
  • CVE-2025-54923: Deserialización de datos no confiables;
  • CVE-2025-54924 y CVE-2025-54925: Falsificación de solicitudes del lado del servidor (SSRF);
  • CVE-2025-54926: Limitación inadecuada de un nombre de ruta a un directorio restringido;
  • CVE-2025-8453: Gestión inadecuada de privilegios;
  • CVE-2025-6625: Validación incorrecta de entrada.