Una actualización de SCI

[Actualización 02/03/2026] Múltiples vulnerabilidades en Rexroth IndraWorks de Bosch

Fecha16/02/2026

Importancia4 - Alta

Recursos Afectados

Rexroth IndraWorks en las versiones anteriores a 15V24 (CVE-2025-60035 y CVE-2025-60036);
Rexroth IndraWorks todas las versiones (CVE-2025-60037 y CVE-2025-60038);
Rexroth UA.Testclient en las versiones anteriores a 2.9.0.

Descripción

Trend Micro ha identificado 4 vulnerabilidades de severidades altas en la serie de productos Rexroth IndraWorks que, en el caso de ser explotadas podrían conllevar a la ejecución de código remota.

Solución

La versión IndraWorks 15V24 se lanzará el día 27 de febrero de 2026, y contendrá las correcciones de las vulnerabilidades CVE-2025-60035 y CVE-2025-60036. Las versiones actualizadas de IndraWorks para CVE-2025-60037 y CVE-2025-60038 estarán disponibles más adelante.

UA.TestClient (afectado por CVE-2025-60036) eliminará por completo del paquete a partir de la versión 15V24 de IndraWorks. Se recomienda a los usuarios instalar el paquete independiente, que estará disponible en la Sala de Colaboración. UA.TestClient 2.9.0 y versiones posteriores.

Se recomienda actualizar los equipos cuando estas actualizaciones estén disponibles. Mientras tanto, se recomienda la práctica de solo abrir y procesar archivos de fuentes confiables.

[Actualización 02/03/2026]

Se ha publicado una corrección de error para CVE-2025-60035 (Cliente OPC DA) en el área de descargas de Bosch Rexroth.
Se ha publicado una corrección de error para CVE-2025-60036 (UA.TestClient) en las Salas de Colaboración de Bosch Rexroth.

Se recomienda encarecidamente a los usuarios de cada aplicación que descarguen el paquete independiente y reemplacen la versión vulnerable en la carpeta de instalación de IndraWorks.

IndraWorks 15V24 se entregará con una versión del cliente OPC DA no afectada por la vulnerabilidad. Tenga en cuenta que, a partir de IndraWorks 15V24, UA.TestClient se ha eliminado por completo del paquete.

Para mantener la compatibilidad con versiones anteriores de IndraWorks, no se pueden resolver las vulnerabilidades CVE-2025-60037 y CVE-2025-60038. Para verse afectado por esta vulnerabilidad, el usuario debe importar un archivo manipulado por un atacante. Por lo tanto, se recomienda a los usuarios de IndraWorks que solo abran y procesen archivos de fuentes confiables.

Detalle

CVE-2025-60035: vulnerabilidad en la utilidad OPC.Testclient, incluida en todas las versiones anteriores a la 15V24 de Rexroth IndraWorks.
CVE-2025-60036: vulnerabilidad en la utilidad UA.Testclient, incluida en todas las versiones anteriores a la 15V24 de Rexroth IndraWorks.
CVE-2025-60037 y CVE-2025-60038: vulnerabilidades en Rexroth IndraWorks.

Estas vulnerabilidades podrían permitir que un atacante ejecutase código arbitrario en el producto afectado con el simple hecho de engañar al usuario para que abra un archivo especialmente diseñado y así poder provocar que la aplicación deserialice los datos maliciosos, lo que habilitaría la ejecución remota de código (RCE).