Introducción
CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de ellas de severidad crítica, que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).[1]
Análisis
Las vulnerabilidades críticas encontradas son las siguientes:
- CVE-2025-32011– Omisión de autenticación debido a una debilidad primaria (CWE-305):
PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.
- CVE-2025-35996– Neutralización incorrecta de las inclusiones del lado del servidor (SSI) dentro de una página web (CWE-97):
En Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).
- Los productos afectados son los siguientes:
- Pilz Software PiCtory, versiones anteriores a la 2.12.
Recomendaciones
Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes ‘apt’.
Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos ‘sudo apt update && sudo apt upgrade -y’.
Para comprobar la versión del paquete PiCtory, introducir el comando ‘dpkg -l | grep pictory’.
Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.
Referencias
[1] CERT@VDE (VDE-2025-046) – Pilz: Authentication Bypass and Cross-Site-Scripting in PiCtory