Publicado el

[SCI] Múltiples vulnerabilidades en productos de carga eléctrica

Introducción

Se han publicado varias vulnerabilidades que afectan a diferentes dispositivos de carga eléctrica de diferentes fabricantes. Los investigadores Khaled Sarieddine y Mohammad Ali Sayed han informado a la CISA y se han publicado diferentes informes sobre las vulnerabilidades en los dispositivos de los tres fabricantes: Mobiliti [1] , ePower [2]  y Everon.[3] 

Análisis

Los dispositivos de los tres fabricantes tienen vulnerabilidades similares entre las cuales podemos encontrar una crítica en cada uno de ellos:

    • CVE-2026-22552, CVE-2026-26051, CVE-2026-26288– Falta de autenticación en una función crítica (CWE-306):
      Los endpoints WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes suplantar estaciones no autorizadas y manipular los datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket OCPP utilizando un identificador de estación de carga conocido o descubierto, y luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede conducir a una escalada de privilegios, al control no autorizado de la infraestructura de carga y a la corrupción de los datos de la red de carga reportados al backend.

Los siguientes productos están afectados:

    • CVE-2026-22552: todas las versiones de ePower epower.ie
    • CVE-2026-26051: todas las versiones de Mobiliti e-mobi.hu
    • CVE-2026-26288: todas las versiones de Everon OCPP Backends

Recomendaciones

No se han publicado ninguna medida de protección ante estas vulnerabilidades por parte de los fabricantes.
El fabricante Everon dejó de prestar servicio en su plataforma Everon OCPP Backends el pasado 1 de diciembre de 2025.

Referencias

[1] Mobiliti e-Mobi.hu
[2] ePower Epower.ie
[3] Everon OCPP Backends

Publicado el

[SCI] Omisión de la autenticación en productos Siemens Ruggedcom

Introducción

Se han publicado varias vulnerabilidades en el CERT de Siemens entre las cuales se encuentra una vulnerabilidad crítica que permitirían a un atacante realizar un movimiento lateral entre dispositivos que pertenezcan al entorno de SSO de FortiNet.[1] 

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2026-24858 – Omisión de la autenticación mediante una ruta o canal alternativo (CWE-288):

Una vulnerabilidad de omisión de autenticación usando una ruta o canal alternativo puede permitir a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos.

Los siguientes productos están afectados:

    • RUGGEDCOM APE1808: Todas las versiones con Fortinet NGFW < V7.4.11

Recomendaciones

Se han identificado las siguientes actualizaciones que pueden ayudar a reducir el riesgo:

    • RUGGEDCOM APE1808: Actualizar Fortinet NGFW a la versión V7.4.11

Referencias

[1] SSA-975644: Multiple Vulnerabilities in Fortigate NGFW on RUGGEDCOM APE1808 Devices

Publicado el

Estafa a Mi Carpeta Ciudadana

INICIBE ha publicado una estafa que afecta a Mi Carpeta Ciudadana del Gobierno de España. Los ciberdelincuentes envían un correo que afirma falsamente que se ha generado un ingreso de 552,97 € para el destinatario.

 
Análisis
 
El propósito de la campaña es robar datos personales y bancarios de los usuarios, incluyendo:
 
    • Contraseña de acceso a la banca online
 
El aviso destaca varias señales claras de fraude:
 
    • Web falsa que imita a Mi Carpeta Ciudadana y pide datos sensibles.
Recomendaciones
Si no pulsaste el enlace:
 
Si ingresaste datos en la web falsa, como datos personales o bancarios:
 
 
Referencias

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Vulnerabilidad crítica en Google Chrome

CVE-2026-3545 se origina por una validación insuficiente de datos en el subsistema de navegación de Chrome, lo que permite que datos manipulados en una página HTML maliciosa no sean correctamente verificados por el navegador. Si un usuario visita dicha página, un atacante puede aprovechar el fallo para escapar del sandbox del navegador, uno de los principales mecanismos de aislamiento de seguridad de Chrome. El sandbox está diseñado para impedir que el contenido web acceda directamente al sistema operativo o a otros procesos del navegador. Romper esta barrera puede permitir a un atacante realizar acciones más avanzadas en el sistema de la víctima.

 
Análisis
 

CVE-2026-3545 – CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H – 9,6

El fallo explotado por CVE-2026-3545 aparece cuando el navegador procesa ciertos datos generados durante la navegación web. Un atacante puede crear una página especialmente diseñada con contenido HTML o JavaScript manipulado que provoque que el motor de navegación de Chrome procese información que no ha sido validada correctamente. Debido a esta validación incompleta, el navegador puede entrar en un estado interno inconsistente al manejar dichos datos. En determinadas circunstancias, este estado permite que el código ejecutado dentro del proceso renderer interactúe con componentes del navegador que deberían estar fuera de su alcance.

Como resultado, el atacante puede lograr un escape del sandbox y superar la barrera de aislamiento que normalmente protege al sistema frente al contenido web no confiable. Una vez que el código malicioso sale del entorno restringido del renderer, puede comunicarse con procesos del navegador con mayores privilegios, como el proceso principal encargado de la interfaz y de la gestión de recursos. Este paso es especialmente crítico, ya que rompe uno de los mecanismos fundamentales de seguridad del navegador.

En un escenario de ataque real, la explotación podría darse si la víctima visita una página web maliciosa, ya sea mediante un enlace de phishing, publicidad maliciosa o redirecciones comprometidas. Al cargarse la página, el contenido manipulado activaría el fallo en la validación de datos y desencadenaría el comportamiento que permite el escape del sandbox. Aunque este tipo de vulnerabilidad por sí sola no siempre garantiza el control completo del sistema, es valiosa para los atacantes porque puede combinarse con otras vulnerabilidades en lo que se conoce como una cadena de explotación. En estas cadenas, una primera vulnerabilidad permite ejecutar código dentro del proceso del navegador, mientras que el fallo de escape del sandbox facilita avanzar hacia un compromiso más amplio del sistema.

 
Recursos afectados
 
    • Versiones anteriores a 145.0.7632.159.
Recomendaciones
    • Actualizar Google Chrome a la versión 145.0.7632.159 o posterior.
    • Aplicar actualizaciones automáticas del navegador.
 
Referencias

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)