Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de SCI

Índice

  • Avisos de seguridad de Siemens de marzo de 2026
  • Múltiples vulnerabilidades en UMG 96RM-E de Janitza
  • Múltiples vulnerabilidades en productos de Schneider Electric
  • Múltiples vulnerabilidades en ENERGY METER de Weidmueller

Avisos de seguridad de Siemens de marzo de 2026

Fecha10/03/2026
Importancia5 - Crítica
Recursos Afectados
  • Heliox Flex 180 kW EV Charging Station, todas las versiones anteriores a F4.11.1 y L4.10.1.
  • SIDIS Prime todas las versiones anteriores a V4.0.800;
  • SICAM SIAPP SDK todas las versiones anteriores a V2.1.7;
  • RUGGEDCOM APE1808, todas las versiones con Fortinet NGFW anteriores a V7.4.11 y V7.4.10.
  • SIMATIC S7-1500 CPU family todas las versiones anteriores a V4.1.2;
  • Todas las versiones de los siguientes productos:
    • SIMATIC Drive Controller CPU 1504D TF (6ES7615-4DF10-0AB0);
    • SIMATIC Drive Controller CPU 1507D TF (6ES7615-7DF10-0AB0);
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) V2 CPUs - Windows OS;
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC3 (incl. SIPLUS variants) V2 CPUs - Windows OS;
    • SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants);
    • SIMATIC S7-1500 Software Controller V2;
    • SIMATIC S7-1500 Software Controller V3;
    • SIMATIC S7-1500 Software Controller V4;
    • SIMATIC S7-PLCSIM Advanced.
Descripción

Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad en varios de sus productos las cuales están relacionadas con un total de 35 vulnerabilidades.

Solución

Se recomienda actualizar los productos en la medida que sea posible. Para ello visite el panel de descarga de Siemens. Si no es posible actualizar, en caso contrario aplicar las medidas de mitigación descritas en la sección de 'Referencias'.

Detalle

Siemens, en su comunicado mensual de parches de seguridad, ha emitido 5 nuevos avisos de seguridad, recopilando un total de 35 vulnerabilidades de distintas severidades.

Las vulnerabilidades críticas son:

  • CVE-2025-40943: los dispositivos SIMATIC afectados no depuran correctamente el contenido de los archivos de rastreo. Lo cual podría permitir a un atacante inyectar código mediante ingeniería social a un usuario legítimo para que importe un archivo de rastreo especialmente diseñado.
  • CVE-2025-7783: el uso de valores aleatorios insuficientes en los datos del formulario del producto SIDIS Prime permite la contaminación de parámetros HTTP (HPP). Esta vulnerabilidad está asociada con los archivos de programa lib/form_data.Js.
  • CVE-2026-24858: omisión de autenticación mediante una ruta o canal alternativo en varias versiones de Fortinet FortiAnalyzer pueden permitir que un atacante con una cuenta FortiCloud y un dispositivo registrado inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos. Esta vulnerabilidad está presente en todos los productos RUGGEDCOM APE1808 que tengan Fortinet NGFW.

Múltiples vulnerabilidades en UMG 96RM-E de Janitza

Fecha10/03/2026
Importancia5 - Crítica
Recursos Afectados

UMG 96RM-E, versiones anteriores a la 3.13, incluida.

Descripción

CERT@VDE en coordinación con Janitza electronics GmbH ha publicado 4 vulnerabilidades: 1 de severidad crítica y 3 de severidad media. Un atacante remoto, no autenticado, podría obtener acceso completo al sistema y ejecutar código en remoto.

Solución

Se recomienda encarecidamente actualizar a la versión 3.14.

Detalle
  • CVE-2025-41709: neutralización incorrecta de elementos especiales utilizados en un comando del SO. Un atacante remoto, no autenticado, puede realizar una inyección de comando a través de Modbus-TCP o Modbus-RTU para obtener acceso de lectura y escritura en el dispositivo afectado.

Múltiples vulnerabilidades en productos de Schneider Electric

Fecha10/03/2026
Importancia4 - Alta
Recursos Afectados
  • EcoStruxure™ Power Monitoring Expert (PME):
    • Versión 2022;
    • Versión 2023;
    • Versión 2023 R2;
    • Versión 2024;
    • Versión 2024 R2;
  • EcoStruxure™ Power Operation (EPO) Advanced Reporting and Dashboards Module:
    • Versión 2022;
    • Versión 2024;
  • EcoStruxure™ IT Data Center Expert (normalmente conocido como StruxureWare Data Center Expert), v9.0 y todas las versiones anteriores.
  • EcoStruxure™ Automation Expert, todas las versiones anteriores a v25.0.1.
  • EcoStruxure™ Foxboro DCS, todas las versiones anteriores a CS8.1.
Descripción

Raffaele Bova de Nozomi Networks, CNCERT y un informador anónimo han informado sobre 4 vulnerabilidades de severidad alta que, en caso de ser explotadas podrían comprometer el sistema local, interrumpir las operaciones, permitir el control administrativo no autorizado y acceso a los datos del sistema.

Solución

Se recomienda actualizar los siguientes productos:

  • EcoStruxure™ Power Monitoring Expert (PME):
    • Hotfix_279338_Release_2024R2
    • Versión 2024 R3;
    • Hotfix_282807;
    • Hotfix_282807;
    • Hotfix_282807.
  • EcoStruxure™ IT Data Center Expert versión v9.1;
  • EcoStruxure™ Automation Expert versión v25.0.1;
  • EcoStruxureTM Foxboro DCS versión CS 8.1.

Contacte con Schneider Electric para resolver cualquier duda adicional.

Detalle
  • CVE-2025-11739: deserialización de datos no confiables que podría permitir a un atacante local ejecutar código arbitrario pudiendo así comprometer el sistema, interrumpir las operaciones y/o permitir el control administrativo no autorizado.
  • CVE-2025-13957: vulnerabilidad sobre el uso de credenciales codificadas que podría permitir que un atacante divulgue información y provocar la interrupción de las operaciones y el acceso a los datos del sistema.
  • CVE-2026-2273: vulnerabilidad de inyección de código que podría permitir que atacantes ejecuten comandos arbitrarios en la estación de trabajo y comprometer la seguridad del sistema.
  • CVE-2026-1286: deserialización de datos no confiables lo que podría dar lugar a la pérdida de confidencialidad e integridad y a la posible ejecución remota de código en la estación de trabajo comprometida.

Múltiples vulnerabilidades en ENERGY METER de Weidmueller

Fecha10/03/2026
Importancia5 - Crítica
Recursos Afectados
  • ENERGY METER 750-230: versiones de firmware 3.1 y anteriores.
  • ENERGY METER 750-24: versiones de firmware 3.1 y anteriores.
Descripción

CERT@VDE en coordinación con Weidmueller, ha publicado 4 vulnerabilidades: 1 de severidad crítica y 3 de severidad media. Un atacante remoto, no autenticado, podría obtener acceso completo al sistema y ejecutar código en remoto.

Solución

Se recomienda encarecidamente actualizar a la versión 3.14.

Detalle
  • CVE-2025-41709: neutralización incorrecta de elementos especiales utilizados en un comando del SO. Un atacante remoto, no autenticado, puede realizar una inyección de comando a través de Modbus-TCP o Modbus-RTU para obtener acceso de lectura y escritura en el dispositivo afectado.