Tres nuevos avisos de SCI y una actualización
Índice
- Múltiples vulnerabilidades en productos de Schneider Electric
- Denegación de servicio en PI Data Archive de AVEVA
- Múltiples vulnerabilidades en productos de ZLAN Information Technology Co.
- [Actualización 11/02/2026] Múltiples vulnerabilidades en productos de Schneider Electric
Múltiples vulnerabilidades en productos de Schneider Electric
Los productos de la serie SCADAPacksupTM x70 RTU:
- SCADAPackTM 47x y SCADAPackTM 47xi, en las versiones anteriores a R3.4.2 y cuya versión de firmware sea anterior a la 9.12.2;
- SCADAPackTM 57x, todas las versiones;
- RemoteConnect, en las versiones anteriores a R3.4.2.
Los productos de las series EcoStruxureTM Building Operation y EcoStruxureTM Building Operation WebStation:
- En todas las versiones 7.0.x anteriores a la 7.0.3.2000 (CP1);
- En todas las versiones 7.0.x anteriores a la 7.0.2;
- En todas las versiones 6.x anteriores a la 6.0.4.14001 (CP10);
- En todas las versiones 6.0.x anteriores a la 6.0.4.7000 (CP5).
Pentest Limited y Robin Plugge en colaboración con Schneider Electric han reportado 3 vulnerabilidades, 1 de ellas crítica y 2 de severidad alta que, en caso de ser exitosamente explotadas, podrían permitir a un atacante, entre otras acciones, provocar una denegación de servicio, lo que daría lugar a interrupciones del servicio.
Se recomienda actualizar los recursos afectados a sus respectivas soluciones.
- SCADAPackTM 47x y SCADAPackTM 47xi, actualizar a la versión R3.4.2 con la versión de firmware 9.12.2;
- RemoteConnect, actualizar a la versión R3.4.2;
- EcoStruxureTM Building Operation Workstation y EcoStruxureTM Building Operation WebStation, actualizar a alguna de las siguientes versiones:
- Para las versiones 7.0.x anteriores a 7.0.27.0.2, actualizar a 7.0.2;
- Para las versiones 7.0.x anteriores a 7.0.3.2000, actualizar a 7.0.3.2000 (CP1);
- Para las versiones 6.0.x anteriores a 6.0.4.7000 (CP5), actualizar a 6.0.4.7000 (CP5);
- Para las versiones 6.0.x anteriores a 6.0.4.14001 (CP10), actualizar a 6.0.4.14001 (CP10);
Algunas actualizaciones requieren de ciertos pasos, para ello, se recomienda seguir las indicaciones del fabricante que puede encontrar en los enlaces de las referencias.
CVE-2026-0667: comprobación inadecuada de condiciones inusuales o excepcionales que podría provocar la ejecución de código arbitrario, denegación de servicio y pérdida de confidencialidad e integridad al comunicarse a través del protocolo Modbus TCP.
CVE-2026-1227: restricción inadecuada de referencias a entidades externas XML. Cuando un usuario local carga un archivo gráfico TGML especialmente diseñado en el servidor EBO desde una estación de trabajo, podría provocar la divulgación no autorizada de archivos locales, la interacción dentro del sistema EBO o condiciones de denegación de servicio.
CVE-2026-1226: control inadecuado de la generación de código que podría provocar la ejecución de código no fiable o no deseado dentro de la aplicación cuando se procesa contenido de diseño malintencionado a través de un archivo gráfico TGML.
Denegación de servicio en PI Data Archive de AVEVA
PI Data Archive que se encuentre en algunos de los siguientes servidores:
- PI Server 2018 SP3 Patch 7, y versiones anteriores;
- PI Server 2023;
- PI Server 2023_Patch_1;
- PI Server 2024.
AVEVA ha informado de 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría provocar una denegación de servicio del sistema.
Según la versión afectada:
- Para PI Server 2018 SP3 Patch 7, actualizar a PI Server 2018 SP3 Patch 8 o superior;
- Para el resto de versiones, actualizar a PI Server 2024 R2 o superior.
CVE-2026-1507: Los productos afectados son vulnerables a una excepción no detectada, la cual podría permitir a un atacante no autenticado bloquear de forma remota los servicios PI principales, lo que provocaría una denegación de servicio.
Múltiples vulnerabilidades en productos de ZLAN Information Technology Co.
- ZLAN5143D: versión v1.600.
Shorabh Karir y Deepak Singh, de KPMG, han reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación o restablecer la contraseña del dispositivo.
ZLAN Information Technology Co. no respondió a los intentos de coordinación de CISA. Se recomienda a los usuarios de dispositivos ZLAN5143D que se pongan en contacto con ZLAN y mantengan sus sistemas actualizados.
- CVE-2026-25084: la autenticación del dispositivo se puede omitir accediendo directamente a las URL internas, permitiendo a un atacante eludir la autenticación
- CVE-2026-24789: un endpoint de la API sin protección, permite a un atacante cambiar de forma remota la contraseña del dispositivo sin proporcionar autenticación.
[Actualización 11/02/2026] Múltiples vulnerabilidades en productos de Schneider Electric
- Operación de EcoStruxure Power (EPO): 2022 CU6 y anteriores;
- Operación de energía de EcoStruxure (EPO): 2024 CU1 y anteriores;
- EcoStruxure IT Data Center Expert: versiones v8.3 y anteriores.
Jaggar Henry y Jim Becher, de KoreLogic, Inc., y Schneider Electric han reportado 12 vulnerabilidades: 1 de severidad media, 8 altas y 3 medias que podrían provocar una pérdida de la funcionalidad del sistema, acceso no autorizado a las funciones del sistema o interrumpir las operaciones y acceder a los datos del sistema.
- EcoStruxure Power Operation 2024 CU2 incluye correcciones para estas vulnerabilidades y está disponible para descargar.
- La versión 9.0 de EcoStruxure IT Data Center Expert incluye correcciones para estas vulnerabilidades y está disponible a pedido en el Centro de atención al cliente de Schneider Electric.
[Actualización 11/02/2026]
- EcoStruxure Power Operation 2024: EcoStruxure™ Power Operation 2022 CU7 incluye una versión actualizada de PostgreSQL y está disponible para su descarga.
- CVE-2025-50121: neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo, que podría provocar la ejecución remota de código, no autenticado, al crear una carpeta maliciosa mediante la interfaz web HTTP cuando está habilitada. HTTP está deshabilitado de forma predeterminada.
- CVE-2025-50122: entropía insuficiente, que podría provocar el descubrimiento de la contraseña root cuando el algoritmo de generación de contraseñas se somete a ingeniería inversa con acceso a artefactos de instalación o actualización.
- CVE-2025-50123: control inadecuado en la generación de código ('inyección de código'), que podría provocar la ejecución remota de comandos por parte de una cuenta privilegiada cuando se accede al servidor a través de una consola y se explota la entrada del nombre de host.
- CVE-2025-50124: gestión de privilegios inadecuada que podría provocar una escalada de privilegios cuando se accede al servidor mediante una cuenta privilegiada mediante una consola y mediante la explotación de un script de configuración.
- CVE-2023-50447: la versión 10.1.0 de Pillow permite la ejecución de código arbitrario de PIL.ImageMath.eval mediante el parámetro de entorno. Esta vulnerabilidad es diferente de la CVE-2022-22817, que afecta al parámetro de expresión.
- CVE-2022-45198: las versiones de Pillow anteriores a 9.2.0 manejan incorrectamente datos GIF altamente comprimidos.
- CVE-2023-5217: un desbordamiento del búfer de montón en la codificación vp8 en libvpx, utilizado por versiones de Google Chrome anteriores a 117.0.5938.132 y libvpx versión 1.13.1, podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
- CVE-2023-35945: fuga de memoria que que podria derivar en una denegación de servicio por agotamiento de la memoria.
- CVE-2023-44487: el protocolo HTTP/2 permite una denegación de servicio porque la cancelación de la solicitud puede restablecer muchos flujos rápidamente.