Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Asignación incorrecta de permisos en ibaPDA de iba Systems
  • Ejecución SQL remota en productos de Johnson Controls

Asignación incorrecta de permisos en ibaPDA de iba Systems

Fecha29/01/2026
Importancia5 - Crítica
Recursos Afectados

ibaPDA, versión 8.12.0.

Descripción

Siemens ha reportado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante ejecutar acciones no autorizadas en el sistema de ficheros.

Solución

Actualizar el sistema a la versión 8.12.1 o posterior.

Detalle

CVE-2025-14988: esta vulnerabilidad podría permitir realizar acciones no autorizadas en el sistema de ficheros bajo ciertas condiciones. Esto puede impactar a la confidencialidad, integridad y disponibilidad del sistema.

Ejecución SQL remota en productos de Johnson Controls

Fecha29/01/2026
Importancia5 - Crítica
Recursos Afectados
  • Servidor de aplicaciones y datos (ADS) instalado con SQL Express implementado como parte de la instalación de Metasys en las versiones anteriores de 14.1, incluida.
  • Servidor de aplicaciones y datos ampliado (ADX) instalado con SQL Express implementado como parte de la instalación de Metasys en la versión 14.1.
  • LCS8500 o NAE8500 instalado con SQL Express implementado como parte de la instalación de Metasys versiones desde la versión 12.0 hasta 14.1.
  • Herramienta de configuración del sistema (SCT) instalada con SQL Express implementado como parte de la instalación de SCT en las versiones anteriores a 17.1, incluida.
  • Herramienta de configuración del controlador (CCT) instalada con SQL Express implementado como parte de la instalación de CCT en las versiones anteriores a 17.0, incluida.
Descripción

Johnson Controls ha reportado sobre 1 vulnerabilidad crítica que, en caso de ser explotada podría permitir a un atacante poder ejecutar comandos SQL de forma remota y como consecuencia, alterar o borrar datos.

Solución

El fabricante Johnson Controls recomienda descargar y ejecutar el parche de Metasys para GIV-165989 para los productos afectados.

Como medidas de mitigación, se recomienda cerrar el puerto TCP entrante 1433.

Detalle

CVE-2026-21654: neutralización incorrecta de elementos especiales utilizados en un comando que, en determinadas circunstancias, una explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos SQL de forma remota lo que puede dar cabida a la alteración o pérdida de datos.