Autor: Industriales CSIRT-CV

Introducción

Souvik Kandar ha informado sobre 1 vulnerabilidad de severidad crítica que podría llevar a una apropiación de cuentas y acceso no autorizado a las transmisiones de la cámara; un atacante no autenticado puede cambiar la dirección de correo electrónico de recuperación, lo que podría llevar a un mayor compromiso de la red..^[1] 

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • CVE-2026-1670– Ausencia de autenticación para una función crítica (CWE-306):

Los productos afectados son vulnerables a una exposición de endpoint de API no autenticado, lo que podría permitir a un atacante cambiar en remoto la dirección de correo electrónico de recuperación de ‘olvidé mi contraseña’.

Los siguientes productos están afectados:

• • I-HIB2PI-UL 2MP IP 6.1.22.1216
  • SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
  • PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
  • 25M IPC WDR_2MP_32M_PTZ_v2.0

Recomendaciones

Hasta la fecha no se han publicado ninguna versión que corrija esta vulnerabilidad.

Se proponen las siguientes medidas para ayudar a minimizar el riesgo:

• • Minimizar la exposición a la red de todos los dispositivos y/o sistemas del sistema de control, asegurándose de que no sean accesibles desde Internet.
  • Ubique las redes del sistema de control y los dispositivos remotos detrás de cortafuegos y aíslelos de las redes empresariales.
  • Cuando se requiera acceso remoto, utilice métodos más seguros, como las redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Tenga en cuenta también que la seguridad de una VPN depende de la seguridad de los dispositivos conectados.

Referencias

[1] ICSA-26-048-04 – Honeywell CCTV Products

Introducción

Rockwell Automation, ha publicado 12 vulnerabilidades: 1 de severidad crítica y 11 de severidad alta, que de ser explotadas podrían permitir a un atacante provocar una denegación de servicio, un fallo grave e irrecuperable, eliminar cualquier archivo del sistema operativo o acceder a información sensible.^[1] 

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • CVE-2025-7328 – Ausencia de autenticación para una función crítica (CWE-306):

Se han identificado múltiples vulnerabilidades de seguridad relacionadas con Broken Authentication en el producto afectado. Estas vulnerabilidades se originan por la ausencia de mecanismos adecuados de verificación de autenticación en funciones críticas del sistema. Como consecuencia, un atacante podría provocar una denegación de servicio, obtener una elevación de privilegios o realizar modificaciones no autorizadas en las reglas NAT.
La alteración de dichas reglas podría permitir la comunicación de los dispositivos comprometidos con endpoints maliciosos, comprometiendo la integridad del entorno. Los cambios efectuados a través de esta vulnerabilidad podrían además generar alteraciones en la configuración del sistema, requiriendo un reinicio y restablecimiento manual para su recuperación.

Los siguientes productos están afectados:

• • Comunicaciones – 1783-NATR: versiones V1.006 y anteriores.

Recomendaciones

Se recomienda a los usuarios descargar y actualizar los productos afectados a la versión 1.007 o posterior.

Referencias

[1] Comms – 1783-NATR Multiple Vulnerabilities

Introducción

CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de ellas de severidad crítica, que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).^[1]  

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2025-32011– Omisión de autenticación debido a una debilidad primaria (CWE-305):

PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.

• • CVE-2025-35996– Neutralización incorrecta de las inclusiones del lado del servidor (SSI) dentro de una página web (CWE-97):

En Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).

• Los productos afectados son los siguientes:

• • • Pilz Software PiCtory, versiones anteriores a la 2.12.

Recomendaciones

Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes ‘apt’.

Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos ‘sudo apt update && sudo apt upgrade -y’.

Para comprobar la versión del paquete PiCtory, introducir el comando ‘dpkg -l | grep pictory’.

Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.

Referencias

[1] CERT@VDE (VDE-2025-046) – Pilz: Authentication Bypass and Cross-Site-Scripting in PiCtory