Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en V-SFT de FUJI Electric
  • Omisión de autenticación en Remote Spectrum Monitor de Anritsu
  • Ausencia de autenticación en PX4 Autopilot

Múltiples vulnerabilidades en V-SFT de FUJI Electric

Fecha01/04/2026
Importancia4 - Alta
Recursos Afectados

V-SFT versión 6.2.10.0 y anteriores.

Descripción

Michael Heinzl ha reportado 5 vulnerabilidades de severidades altas que, en caso de ser explotadas, podrían permitir a un atacante poder realizar desbordamientos de búfer basado en la pila y la lectura fuera de límites.

Solución

Se recomienda encarecidamente actualizar el software en base a las especificaciones del fabricante.

Detalle

Desbordamiento de búfer basado en pila:

  • CVE-2026-32925: en VS6ComFile!CV7BaseMap::WriteV7DataToRom.
  • CVE-2026-32928: en VS6ComFile!CSaveData::_conv_AnimationItem.

Lectura fuera de límites:

  • CVE-2026-32926: en VS6ComFile!load_link_inf.
  • CVE-2026-32927: en VS6MemInIF!set_temp_type_default.
  • CVE-2026-32929: en VS6ComFile!get_macro_mem_COM.

El impacto de estas vulnerabilidades podría causar abrir un archivo V7 manipulado y conseguir así la exposición de información o la ejecución de código arbitrario en el producto afectado.

Omisión de autenticación en Remote Spectrum Monitor de Anritsu

Fecha01/04/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de los siguientes modelos del producto Remote Spectrum Monitor están afectadas:

  • MS27100A;
  • MS27101A;
  • MS27102A;
  • MS27103A.
Descripción

Souvik Kandar ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes con acceso a la red alterar los ajustes del funcionamiento, obtener información sensible de las señales o interrumpir la disponibilidad del dispositivo.

Solución

El fabricante no tiene planificada una actualización para este problema. En su lugar recomienda desplegar el producto en entornos de red seguros.

Detalle

CVE-2026-3356: el producto tiene una omisión de autenticación que permite a usuarios no autorizados acceder y manipular su interfaz de gestión. Debido a que el dispositivo no proporciona ningún mecanismo para permitir o configurar la autenticación, se trata más de un problema inherente a su diseño que de un error de desarrollo.

Ausencia de autenticación en PX4 Autopilot

Fecha01/04/2026
Importancia5 - Crítica
Recursos Afectados
  • Autopilot v1.16.0.
Descripción

Dolev Aviv, de Cyviation, ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante ejecutar comandos de shell arbitrarios sin autenticación criptográfica.

Solución

PX4 recomienda habilitar la firma de mensajes MAVLink 2.0 como mecanismo de autenticación para todos los enlaces de comunicación que no sean USB.

Por otra parte, PX4 ha publicado una guía de refuerzo de la seguridad dirigida a integradores y fabricantes que se puede consultar en las referencias.

Detalle

CVE-2026-1579: el protocolo de comunicación MAVLink, por defecto, no requiere autenticación criptográfica. Cuando la firma de mensajes MAVLink 2.0 no está habilitada, un atacante no autenticado que tenga acceso a la interfaz MAVLink puede enviar cualquier mensaje. PX4 ofrece la firma de mensajes MAVLink 2.0 como mecanismo de autenticación criptográfica para todas las comunicaciones MAVLink. Cuando la firma está habilitada, los mensajes sin firmar se rechazan a nivel de protocolo.