Dos nuevos avisos de SCI

• CVE-2025-4675:  implementación incorrecta del protocolo Modbus en el dispositivo. Esto da lugar a que el puerto 502 se vuelva inestable y la indisponibilidad del servicio Modbus hasta que se reinicia manualmente el dispositivo.
• CVE-2025-4676: omisión de autenticación mediante fuerza bruta en los encabezados de autenticación ya que simplemente se validan los primeros caracteres de la cookie de sesión y el token. Esto da lugar a que si solo los primeros caracteres son correctos, el usuario será validado. Un atacante podría realizar fuerza bruta y eludir fácilmente la autenticación.
• CVE-2025-4677: el tiempo de espera de sesión inactiva no está configurado para los puertos 23 y 502, por lo que la explotación de esta vulnerabilidad podría permitir a un atacante establecer varias conexiones con el dispositivo y provocar la indisponibilidad de los recursos del dispositivo.

• CVE-2022-33318: vulnerabilidad de severidad crítica de ejecución remota de código como resultado de la deserialización de datos no confiables en la función de comunicación GENESIS64, ICONICS Suite, MC Works64 y GENESIS32. Si esta vulnerabilidad es explotada, podría permitir a un atacante ejecutar código malicioso arbitrario con el simple hecho de enviar paquetes especialmente diseñados a los productos afectados.
• CVE-2022-29834: la inadecuada validación de entrada de los parámetros URL da lugar a una vulnerabilidad de path traversal. Un atacante podría acceder a archivos arbitrarios en el servidor y divulgar la información almacenada en los archivos mediante la incrustación de un parámetro malicioso en la URL de la pantalla de supervisión y acceder de forma no autorizada.
• CVE-2022-33315: deserialización de datos no confiables en la función de supervisión gráfica de los productos afectados causada por la validación incorrecta de la entrada para los archivos de monitoreo en pantalla. Si un atacante persuade a un usuario para que suba un archivo de pantalla de supervisión, podría ejecutar cualquier código malicioso que contenga códigos XAML dañinos.
• CVE-2022-33316: ejecución remota de código debido a la deserialización de datos no confiables para los archivos de pantalla de supervisión. Si un atacante engaña a un usuario para que suba un archivo de pantalla de supervisión, podría ejecutar cualquier código malicioso que contenga códigos XAML dañinos.
• CVE-2022-33317: ejecución remota de código a través de la inclusión de funcionalidad desde un ámbito de control no confiable en la función de monitoreo gráfico de los productos afectados. Esta vulnerabilidad se debe a una restricción inapropiada de los scripts. Si un atacante logra que un usuario cargue una pantalla de monitoreo, podría ejecutar cualquier código malicioso, que contenga códigos de script maliciosos.
• CVE-2022-33319: vulnerabilidad de divulgación de información y denegación de servicio (DoS) debido a un mal tamaño de los datos de entrada para los paquetes. Esta vulnerabilidad ocurre en la función de comunicación con un servidor OPC DA externo. Un atacante podría filtrar datos de la memoria o causar una condición de denegación de servicio (DoS) mandando paquetes específicamente creados al servidor.
• CVE-2022-33320: ejecución remota de código derivada de una insuficiente validación de entrada para los archivos de configuración de proyectos, en la función de gestión de proyectos a través de la deserialización de datos no confiables. Un atacante podría ejecutar un código malicioso de manera arbitraria si persuadiera a un usuario para que cargara un archivo de configuración del proyecto con códigos XML dañinos.
• CVE-2024-1182: ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en la función  notificación multiagente cuando se instalan los productos afectados con el agente Pager. Un atacante podría ejecutar código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica.
• CVE-2024-7587: un atacante malintencionado autenticado local podría divulgar o manipular información y datos confidenciales almacenados en la carpeta 'C:\ProgramData\ICONICS' o provocar una denegación de servicio (DoS) en los productos, accediendo a la carpeta con permisos incorrectos.
• CVE-2024-8299:  ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en el agente telefónico de la función de notificación multiagente que afecta a todos los clientes que utilicen una tarjeta de telefonía Dialogic sin instalar el controlador o que no sea Dialogic. Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados o provocar una condición de denegación de servicio (DoS) en los productos.
• CVE-2024-8300: ejecución de código malicioso debido a la presencia de código muerto en el controlador de comunicación. Se verán afectados todos los clientes que instalen los productos afectados en una carpeta no protegida distinta de la carpeta de instalación predeterminada. Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados, o provocar una condición de denegación de servicio (DoS) en los productos.
• CVE-2024-9852: ejecución de código malicioso debido a un elemento de ruta de búsqueda no controlado en el agente FAX de la función de notificación multiagente.  Un atacante podría ejecutar un código malicioso almacenando un archivo DLL especialmente diseñado en una carpeta específica, divulgar y manipular la información en los productos afectados, o provocar una condición de denegación de servicio (DoS) en los productos.

A las otras vulnerabilidades se les ha asignado los siguientes códigos: 

• Severidad media: CVE-2023-4807, CVE-2024-1573 y CVE-2024-1574.
• Severidad baja: CVE-2023-2650.