Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI

Múltiples vulnerabilidades en Industrial-Managed-Switches de Wago

Fecha11/12/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a la 02.64 del firmware de Industrial-Managed-Switches, modelos:

  • 0852-1322
  • 0852-1328
Descripción

CERT@VDE en coordinación con WAGO GmbH & Co. ha publicado dos vulnerabilidades de severidad crítica que, de ser explotadas, podrían permitir la ejecución remota de código o causar una denegación de servicio.

Solución

Actualizar los dispositivos a la versión de firmware 02.64.

Detalle

Ambas vulnerabilidades son de desbordamiento de búfer basado en pila. Un atacante remoto no autenticado puede abusar de llamadas 'sscanf' inseguras dentro de las funciones especificadas a continuación, para escribir datos arbitrarios en búferes de pila de tamaño fijo, lo que provoca que el dispositivo quede completamente comprometido:

  • CVE-2025-41732: check_cookie();
  • CVE-2025-41730: check_account().