Introducció
CERT@VDE en coordinació amb Pilz GmbH han informat de 3 vulnerabilitats, 2 d’elles de severitat crítica, que, en cas de ser explotades, poden evitar l’autenticació i realitzar un atac Cross-Site Scripting (XSS).[1]
Anàlisi
Les vulnerabilitats crítiques trobades són les següents:
- CVE-2025-32011– Omissió d’autenticació a causa d’una debilitat primària (CWE-305):
PiCtory té una vulnerabilitat d’evitació d’autenticació per la qual un atacant remot pot evitar l’autenticació i obtindre accés a través d’un path traversal.
- CVE-2025-35996– Neutralització incorrecta de les inclusions del costat del servidor (SSI) dins d’una pàgina web (CWE-97):
En Revolution Pi PiCtory un atacant remot autenticat pot crear un nom d’arxiu especial que pot ser emmagatzemat per endpoints API. Posteriorment, eixe nom d’arxiu es transmet al client per a mostrar una llista d’arxius de configuració. A causa d’una falta de depuració, el nom de l’arxiu podria executar-se com a etiqueta de script HTML resultant en un atac de Cross-Site Scripting (XSS).
- Els productes afectats són els següents:
- Pilz Software PiCtory, versions anteriors a la 2.12.
Recomanacions
Actualitzar el paquet PiCtory a la versió 2.12 mitjançant el gestor de paquets ‘apt’.
Per a instal·lar totes les actualitzacions disponibles d’IndustrialPI utilitzar els comandos ‘sudo apt update && sudo apt upgrade -i’.
Per a comprovar la versió del paquet PiCtory, introduir el comando ‘dpkg -l | grep pictory’.
Addicionalment, es recomana limitar l’accés a la xarxa dels productes IndustrialPI utilitzant un firewall o mesures similars.
Referències
[1] CERT@VDE (VDE-2025-046) – Pilz: Authentication Bypass and Cross-Site-Scripting in PiCtory