Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en Lantronix
  • Falta de autenticación para una función crítica para Honeywell
  • Escalada de privilegios en el instalador de CODESYS

Múltiples vulnerabilidades en Lantronix

Fecha11/03/2026
Importancia5 - Crítica
Recursos Afectados
  • EDS3000PS 3.1.0.0R2;
  • EDS5000 2.1.0.0R3.
Descripción

Francesco La Spina y Stanislav Dashevskyi, de Forescout Technologies, han descubierto 8 vulnerabilidades, 2 de severidad crítica, 5 alta y 1 baja. En caso de ser explotadas, podrían permitir a un atacante evitar la autenticación y ejecutar código con permisos de root.

Solución

Actualizar los productos a las siguientes versiones:

  • EDS3000PS, versión 3.2.0.0R2;
  • EDS5000, versión 2.2.0.0R1.

Se recomienda descargar la actualización desde la página oficial del fabricante.

Detalle
  • CVE-2025-67038: el módulo HTTP RPC ejecuta un intérprete de comandos para escribir logs cuando falla la autenticación del usuario. El nombre de usuario se concatena directamente con el comando sin ningún tipo de depuración. Esto permite a los atacantes inyectar comandos del SO arbitrarios en el parámetro nombre de usuario. Los comandos inyectados se ejecutan con privilegios de root.
  • CVE-2025-67039: es posible evitar la autenticación en las páginas de gestión si se añade un sufijo específico a la URL y una cabecera de Autorización que tenga "admin" como nombre de usuario.
  • CVE-2025-67034: un atacante autenticado puede inyectar comandos del SO en el parámetro "name" cuando elimina credenciales SSL desde la interfaz de gestión. Los comandos que se inyectan se ejecutan con privilegios de root.
  • CVE-2025-67035: las páginas de SSH Client y SSH Server tienen varias vulnerabilidades de inyección SQL por la falta de depuración de los parámetros de entrada. Un atacante puede inyectar comandos arbitrarios y borrar acciones en varios objetos como claves del servidor, usuarios y host conocidos. Los comandos se ejecutarán con privilegios de root.
  • CVE-2025-67036: la página de Log Info permite a los usuarios ver ficheros de log cuando se especifican sus nombres. Debido a una falta de depuración del parámetro del nombre del fichero, un atacante autenticado puede inyectar comandos del SO arbitrarios que serán ejecutados con privilegios de root.
  • CVE-2025-67037: un usuario autenticado puede inyectar comandos del SO en el parámetro "tunnel" cuando se mata una conexión tunel. Los comandos se ejecutarán con privilegios de root.
  • CVE-2025-67041: el parámetro host del cliente TFTP en la página del navegador de archivos del sistema (Filesystem Browser) no está debidamente depurada. Esto puede ser explotado para escapar del comando original y ejecutar código arbitrario con privilegios de root.

Falta de autenticación para una función crítica para Honeywell

Fecha11/03/2026
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de Honeywell IQ4x BMS Controller:

  • IQ4E: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQ412: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQ422: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQ4NC: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQ41x: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQ3: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
  • IQECO: versiones de firmware desde la v3.50_3.44 (incluida) hasta la 4.36_build_4.3.7.9 (no incluida).
Descripción

Gjoko Krstic, de Zero Science, ha informado de una vulnerabilidad de severidad crítica que, en caso de ejecutarse, podría permitir a un atacante, no autorizado, acceder a la configuración de gestión del controlador, controlar componentes, revelar información o provocar una condición de denegación de servicio.

Solución

Aún no hay disponible un parche que solucione el problema.

Detalle

CVE-2026-3611: el producto expone su interfaz hombre-máquina (HMI) sin autenticación en su configuración de fábrica. Debido a que esto es accesible antes de la autenticación, un usuario remoto puede crear una nueva cuenta con permisos de administración de lectura y escritura, habilitando el módulo de usuario e imponiendo la autenticación con credenciales controladas por el atacante. Esta acción puede bloquear a los operadores legítimos fuera de las configuraciones y administraciones locales y basadas en web.

Escalada de privilegios en el instalador de CODESYS

Fecha11/03/2026
Importancia
Recursos Afectados
  • CODESYS Installer: versiones anteriores a la 2.6.1.0.
Descripción

CERT@VDE en coordinación con David Ruscheweyh de SEW-EURODRIVE, ha publicado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante local con privilegios limitados llevar a cabo una escalada de privilegios.

Solución

CODESYS recomienda actualizar los productos afectados a la versión 2.6.1.0.

Detalle

CVE-2026-2364: vulnerabilidad de escalada de privilegios. Debido a una condición de carrera, un atacante local con privilegios limitados puede sustituir la configuración descargada y verificada antes de su ejecución. Dado que el proceso de actualización se ejecuta con privilegios de administrador, se puede ejecutar una aplicación maliciosa con permisos elevados.

El ataque requiere que el usuario legítimo confirme la solicitud de auto-actualización del propio instalador CODESYS o que inicie la instalación de un sistema de desarrollo CODESYS. El proceso de actualización de los complementos CODESYS no se ve afectado por este problema.