Dos nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en ScadaBR de ScadaBR
- Función peligrosa expuesta en cámaras de videovigilancia de ZKTeco
Múltiples vulnerabilidades en ScadaBR de ScadaBR
ScadaBR 1.2.0
Arad Inbar, Nir Somech, Ben Grinberg, Daniel Lubel, Erez Cohen, y Adiel Sol de DREAM han reportado 4 vulnerabilidades: 1 de severidad crítica, 2 altas y una media que podrían permitir a un atacante ejecutar código de forma remota sin autenticación.
Por el momento no existe solución.
Se recomienda contactar con la entidad.
- CVE-2026-8602: ausencia de autenticación para una función crítica que podría permitir a un atacante, no autenticado, enviar solicitudes HTTP GET al sistema SCADA e inyectar lecturas arbitrarias de los sensores.
- CVE-2026-8603: inyección de comandos del sistema operativo que podría permitir a un atacante ejecutar comandos como usuario root en el sistema SCADA.
- CVE-2026-8604: CSRF que podría permitir a un atacante activar cualquier acción autenticada a través de la sesión de una víctima, atrayendo a cualquier usuario que haya iniciado sesión a una página web maliciosa.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-8605.
Función peligrosa expuesta en cámaras de videovigilancia de ZKTeco
ZKTeco SSC335-GC2063-Face-0b77 Solution: versiones anteriores a la 5.0.1.2.20260421.
Souvik Kandar ha informado de una vulnerabilidad de severidad crítica que podría dar lugar a una divulgación de información, incluyendo la captura de las credenciales de la cuenta de la cámara.
ZKTeco ha corregido esta vulnerabilidad en la versión de firmware V5.0.1.2.20260421.
CVE-2026-8598: Algunos modelos de cámaras de videovigilancia ZKTeco disponen de un puerto de exportación de configuración no documentado. Este puerto no requiere autenticación y expone información crítica sobre la cámara, como los servicios abiertos y las credenciales de la cuenta.



