Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Ausencia de autenticación en productos de CCTV de Honeywell
  • Desbordamiento de búfer basado en pila en ASDA-Soft de Delta Electronics
  • Múltiples vulnerabilidades en GE Vernova Enervista UR Setup

Ausencia de autenticación en productos de CCTV de Honeywell

Fecha18/02/2026
Importancia5 - Crítica
Recursos Afectados

 Productos CCTV:

  • I-HIB2PI-UL 2MP IP 6.1.22.1216;
  • PyME NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0;
  • PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0;
  • 25M IPC WDR_2MP_32M_PTZ_v2.0.
Descripción

Souvik Kandar ha informado sobre 1 vulnerabilidad de severidad crítica que podría llevar a una apropiación de cuentas y acceso no autorizado a las transmisiones de la cámara; un atacante no autenticado puede cambiar la dirección de correo electrónico de recuperación, lo que podría llevar a un mayor compromiso de la red.

Solución

Honeywell recomienda a los usuarios que se pongan en contacto con Honeywell para obtener información sobre el parche.

Detalle

CVE-2026-1670: el producto afectado es vulnerable a una exposición del endpoint de la API no autenticada, lo que puede permitir que un atacante cambie de forma remota la dirección de correo electrónico de recuperación de "contraseña olvidada".

Desbordamiento de búfer basado en pila en ASDA-Soft de Delta Electronics

Fecha18/02/2026
Importancia4 - Alta
Recursos Afectados

ASDA-Soft, versiones anteriores a la 7.2.0.0.

Descripción

nisu de Zero Day Initiative (ZDI) ha informado de una vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir escribir datos fuera del búfer.

Solución

Actualizar el producto a la versión 7.2.2.0. o posterior. Para ello, se recomienda descargar el producto desde la página oficial del fabricante.

Detalle

CVE-2026-1361: al parsear ficheros .par se produce un desbordamiento del búfer basado en pila por la validación incorrecta de un parámetro de tamaño controlado por el usuario, donde los límites superiores del búfer local no se comprueban correctamente. Esto permite que se escriban datos después del límite del búfer.

Múltiples vulnerabilidades en GE Vernova Enervista UR Setup

Fecha18/02/2026
Importancia4 - Alta
Recursos Afectados

GE Vernova Enervista UR Setup: versiones anteriores a la 8.70.

Descripción

Reid Wightman, de Dragos, ha reportado 2 vulnerabilidades, una de severidad alta y una de severidad baja, cuya explotación podría permitir a un atacante llevar a cabo una ejecución de código con privilegios administrativos.

Solución

GE Vernova recomienda a los usuarios afectados que utilicen versiones parcheadas de Enervista UR Setup: versiones 8.70 o posteriores.

Detalle
  • CVE-2026-1762: el instalador GE Vernova Enervista UR Setup para versiones anteriores a la 8.70 es vulnerable al secuestro de DLL. Al ejecutar el instalador en una ubicación con DLL desconocidas o no fiables, un atacante podría obtener la ejecución de código con privilegios administrativos.
  • CVE-2026-1763: las versiones de GE Vernova Enervista UR Setup anteriores a la 8.70 son vulnerables al recorrido de directorios al abrir determinados archivos de actualización de firmware. Esto podría permitir a un atacante escribir en algunos archivos del sistema de archivos con los privilegios del usuario que ha iniciado sesión.