Dos nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en productos de Trane
- Desbordamiento del búfer de pila en AC500 V3 de ABB
Múltiples vulnerabilidades en productos de Trane
- Trane Tracer SC, versiones inferiores a la v4.4_SP7;
- Trane Tracer SC+, versiones anteriores a la v6.3.2310;
- Trane Tracer Concierge, versiones anteriores a la v6.3.2310.
Noam Moshe, de Claroty, ha descubierto 5 vulnerabilidades, 1 de severidad crítica, 2 alta y 2 media que, en caso de ser explotadas, podrían permitir el acceso a información sensible, la ejecución de comandos arbitrarios o provocar una denegación de servicio.
Actualizar los productos a las siguientes versiones:
- Tracer SC+, versión v6.30.2313
Las vulnerabilidades de severidad crítica y alta son:
- CVE-2026-28252: el uso de un algoritmo criptográfico roto o de riesgo podría permitir a un atacante evitar la autenticación y lograr acceso al dispositivo a nivel de root.
- CVE-2026-28253: una asignación de memoria con excesivo valor de tamaño podría permitir a un atacante no autenticado provocar una condición de denegación de servicio.
- CVE-2026-28255: el uso de credenciales almacenadas en el código podría permitir a un atacante revelar información sensible y hacerse con el control de cuentas.
El resto de vulnerabilidades se pueden consultar en el aviso de las referencias.
Desbordamiento del búfer de pila en AC500 V3 de ABB
Todos los productos AC500 V3 (PM5xxx) con la versión de firmware 3.9.0.
ABB ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante bloquear el dispositivo, provocar una denegación de servicio (DoS) o, ejecutar código en remoto.
Se recomienda actualizar a la última versión.
CVE-2025-15467: desbordamiento del búfer de la pila en el análisis de CMS (Auth)EnvelopedData que podría permitir a un atacante proporcionar un mensaje CMS creado con un IV de tamaño excesivo, y provocar la escritura fuera de límites basada en la pila antes de que se produzca cualquier autenticación o verificación.