Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en MasterSCADA BUK-TS de InSAT
  • Múltiples vulnerabilidades en AC500 V3 de ABB

Múltiples vulnerabilidades en MasterSCADA BUK-TS de InSAT

Fecha25/02/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de InSAT MasterSCADA BUK-TS.

Descripción

Adem El Adeb, ha informado sobre 2 vulnerabilidades de severidad crítica que podrían permitir la ejecución remota de código.

Solución

Se recomienda a los usuarios de los productos afectados que se pongan en contacto con info@insat.ru o scada@insat.ru para obtener más información.

Detalle
  • CVE-2026-21410: InSAT MasterSCADA BUK-TS es susceptible a la inyección de SQL a través de su interfaz web principal. Los usuarios maliciosos que utilizan el endpoint vulnerable podrían provocar la ejecución remota de código.
  • CVE-2026-22553: todas las versiones de InSAT MasterSCADA BUK-TS son susceptibles a la inyección de comandos del sistema operativo a través de un campo en su interfaz web MMadmServ. Los usuarios maliciosos que utilizan el endpoint vulnerable pueden provocar la ejecución remota de código.

Múltiples vulnerabilidades en AC500 V3 de ABB

Fecha25/02/2026
Importancia4 - Alta
Recursos Afectados

Todos los productos de AC500 V3 (PM5xxx) con una versión de firmware anterior a la 3.9.0.

Descripción

ABB ha publicado un aviso donde informa de 3 vulnerabilidades, 2 de severidad alta y 1 media que, en caso de ser explotadas, podrían omitir la gestión de usuarios y leer ficheros de visualización, leer y escribir certificados y claves o provocar denegaciones de servicio.

Solución

Actualizar el firmware del producto a la última versión.

Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-41659: una vulnerabilidad en el sistema de tiempo permite a atacantes en remoto con pocos privilegios acceder a la carpeta PKI por el protocolo CODESYS, lo que les permite leer y escribir certificados y claves. Esto expone datos criptográficos confidenciales y permite que se confíe en certificados no autorizados. Sin embargo, todos los servicios siguen estando disponibles, solo afecta al cifrado basado en certificado y a las características de firma. El problema afecta a sistemas que utilizan el componente opcional CmpOpenSSL para operaciones criptográficas.
  • CVE-2025-41691: hay una vulnerabilidad en el componente CmpDevice del sistema de tiempo de ejecución que permite a atacantes no autenticados provocar una denegación de servicio (DoS) a través de solicitudes de comunicación especialmente manipuladas. El problema se produce por una desreferencia a puntero nulo (NULL) y también afecta a sistemas en los que intentan iniciar sesión clientes obsoletos.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-2595 y su detalle se puede consultar en el enlace de las referencias.