Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Descarga de registros sin autenticación en CHARX SEC de Phoenix Contact
  • Múltiples vulnerabilidades en RUGGEDCOM RST2428P de Siemens

Descarga de registros sin autenticación en CHARX SEC de Phoenix Contact

Fecha03/06/2026
Importancia4 - Alta
Recursos Afectados

El firmware de CHARX SEC-3150, SEC-3050 y SEC-3000, se ve afectado en las versiones anteriores a la 1.9.0.

Descripción

Piotr Ptaszek y Mateusz Wójcik, de ZDI, han informado sobre una vulnerabilidad de severidad alta que podría permitir a un atacante descargar registros sin autenticación en el firmware de los controladores de carga.

Solución

Actualizar el firmware a la versión 1.9.0.

Detalle

CVE-2026-41032: es posible que un atacante, no autenticado, que se encuentre en las inmediaciones descargue los archivos de registro del controlador, lo que podría revelar cierta información confidencial.

Múltiples vulnerabilidades en RUGGEDCOM RST2428P de Siemens

Fecha03/06/2026
Importancia4 - Alta
Recursos Afectados

RUGGEDCOM RST2428P (6GK6242-6PA00), todas las versiones anteriores a la V4.0.

Descripción

Siemens ha publicado 77 vulnerabilidades: 2 de severidad crítica, 56 altas, 18 medias y 1 baja que de ser explotadas podrían permitir a un atacante bloquear el programa y provocar comportamientos indefinidos o una denegación de servicio.

Solución

Actualizar a la última versión disponible.

Detalle
  • CVE-2025-49794: uso tras liberación en libxml2. Este problema se produce al analizar elementos XPath en determinadas circunstancias, cuando el schematron XML contiene los elementos de esquema <sch:name path="..."/>. Esta vulnerabilidad permite a un atacante crear un documento XML malicioso que se utilice como entrada para libxml, lo que provoca el bloqueo del programa que utiliza libxml u otros posibles comportamientos indefinidos.
  • CVE-2025-49796: el procesamiento de determinados elementos sch:name del archivo XML de entrada puede provocar un problema de corrupción de memoria. Este fallo permite a un atacante crear un archivo XML de entrada malicioso que puede provocar el bloqueo de libxml, lo que da lugar a una denegación de servicio u otros posibles comportamientos indefinidos debido a la corrupción de datos confidenciales en la memoria.

Para el resto de vulnerabilidades se recomienda revisar el aviso oficial enlazado en la sección de referencias.