BLOG

Categorías

Secure&Magazine

Alertas de seguridad – Octubre 2025

Secure&IT » Ciberataques y alertas de seguridad » Alertas de seguridad – Octubre 2025

Múltiples vulnerabilidades en productos Circutor

Se han publicado 12 vulnerabilidades, 2 de severidad crítica y 10 altas, que afectan a los dispositivos SGE-PLC1000/SGE-PLC50 de Circutor.

Recursos afectados:

Circutor SGE-PLC1000/SGE-PLC50 v9.0.2.

Solución:

Se recomienda actualizar a la última versión disponible (2.0.4) o, como mínimo, a la 2.0.0. 

 

Vulnerabilidad en microCLAUDIA

Se ha publicado una vulnerabilidad de severidad alta que afecta a la herramienta microCLAUDIA del CCN-CERT, cuya explotación permite que un usuario autenticado realice acciones no autorizadas en sistemas de otras organizaciones, mediante el envío directo de solicitudes a la API.  También permite el acceso entre instancias (tenants), con lo que un atacante podría listar y gestionar activos remotos, desinstalar agentes e incluso eliminar configuraciones de vacunas.

Recursos afectados:

microCLAUDIA, versiones 3.2.0 o anteriores.

Solución:

La vulnerabilidad ha sido resuelta en la versión 3.2.2.

 

Múltiples vulnerabilidades en Dell Storage Manager

Se han detectado 3 vulnerabilidades que afectan a sus productos, una de severidad crítica, una alta y otra media, cuya explotación podrían permitir a un atacante sin autenticación acceder a un amplio conjunto de la API e incluso cambiar la contraseña de un usuario especial existente o lograr la revelación de información.

Recursos afectados:

Dell Storage Manager, versiones anteriores a 2020 R1.21.

Solución:

Actualizar el producto a la versión 2020 R1.22 o posterior.

 

Vulnerabilidad crítica en la plataforma de campus virtual de Diseño de Recursos Educativos

Se ha detectado una vulnerabilidad de severidad crítica que afecta a la Plataforma de campus virtual de DRED, cuya explotación podría permitir a un atacante recuperar, crear, actualizar y eliminar datos de la base de datos mediante el envío de una solicitud POST utilizando el parámetro ‘buscame’ en ‘/catalogo_c/catalogo.php’.

Recursos afectados:

Plataforma de campus virtual.

Solución:

No hay solución reportada por el momento.

 

Vulnerabilidad en TheGreenBow VPN Client Windows Enterprise

Se ha publicado una vulnerabilidad de severidad alta que afecta a TheGreenBow VPN Client Windows Enterprise.

Recursos afectados:

TheGreenBow VPN Client Windows Enterprise : versión 7.5 y 7.6.

Solución:

La función que era vulnerable se ha eliminado en la siguiente versión menor (versión 7.7). Se reintroducirá correctamente en la siguiente versión mayor.
Para verificar la revocación de certificados, se recomienda utilizar la función de verificación CRL de los clientes VPN.

 

Múltiples vulnerabilidades en Open5GS de NewPlane

Se han publicado 2 vulnerabilidades de severidad alta que afectan a Open5GS de NewPlane.

Recursos afectados:

Versiones anteriores a Open5GS 2.7.5.

Solución:

Las vulnerabilidades han sido solucionadas en la versión v2.7.5.

 

Vulnerabilidad crítica en productos de Belden

Se ha detectado una vulnerabilidad de severidad crítica que podría modificar cualquier respuesta válida (Access-Accept, Access-Reject o Access-Challenge) por cualquier otra respuesta.

Recursos afectados:

Todas las versiones de:

  • Hirschmann:
    • HiOS Switch Platform;
    • Classic Switch Platform;
    • HiSecOS Firewall Platform;
    • HiLCOS Wireless Platform, versiones 10.34-RU7 y anteriores;
  • macmon: macmon-NAC;
  • Hirschmann IT: Enterprise Managed Switches.

Solución:

Realizar las acciones indicadas a continuación, según el producto afectado:

  • Hirschmann – HiOS Switch, Classic Switch y HiSecOS Firewall Platforms: en la configuración predeterminada de RADIUS, los productos no se ven afectados. Si la opción RADIUS Server Message Authenticator está desactivada, el producto se ve afectado. Se recomienda mantener este parámetro en su estado predeterminado.
  • Hirschmann – HiLCOS Wireless Platform: actualizar a la versión versión 10.34-RU8.
  • macmon – macmon-NAC: en versiones superiores a la 6.5.0, se debe habilitar la nueva configuración ‘radius.require_message_authenticator’ para forzar el uso del autenticador de mensajes de atributo RADIUS para ‘MAB’ y ‘Switch Login’.
  • Hirschmann IT – Enterprise Managed Switches: para mitigar esta vulnerabilidad, existen dos opciones:
    • Habilitar el modo de retransmisión EAP y añadir el atributo ‘Message-Authenticator’ configurando ‘dot1x eap-relay enable’ en la interfaz que realiza la autenticación 802.1X.
    • Utilizar el método ‘tacacs-group’ para la configuración de la autenticación.

 

[Actualización 27/10/2025] Actualizaciones de seguridad de Microsoft de

Se han detectado 175 vulnerabilidades, calificadas 5 como críticas, 121 como altas, 46 como medias y 3 como bajas.

Recursos afectados:

  • .NET
  • .NET, .NET Framework, Visual Studio
  • NET Core
  • Active Directory Federation Services
  • Agere Windows Modem Driver
  • Azure Connected Machine Agent
  • Azure Entra ID
  • Azure Local
  • Azure Monitor
  • Azure Monitor Agent
  • Azure PlayFab
  • Confidential Azure Container Instances
  • Connected Devices Platform Service (Cdpsvc)
  • Copilot
  • Data Sharing Service Client
  • GitHub
  • Inbox COM Objects
  • Internet Explorer
  • JDBC Driver for SQL Server
  • Microsoft Brokering File System
  • Microsoft Configuration Manager
  • Microsoft Defender for Linux
  • Microsoft Exchange Server
  • Microsoft Failover Cluster Virtual Driver
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft PowerShell
  • Microsoft Windows
  • Microsoft Windows Search Component
  • Microsoft Windows Speech
  • Network Connection Status Indicator (NCSI)
  • NtQueryInformation Token function (ntifs.h)
  • Redis Enterprise
  • Remote Desktop Client
  • Software Protection Platform (SPP)
  • sys Driver
  • Virtual Secure Mode
  • Visual Studio
  • Windows Ancillary Function Driver for WinSock
  • Windows Authentication Methods
  • Windows BitLocker
  • Windows Bluetooth Service
  • Windows COM
  • Windows Cloud Files Mini Filter Driver
  • Windows Connected Devices Platform Service
  • Windows Core Shell
  • Windows Cryptographic Services
  • Windows DWM
  • Windows DWM Core Library
  • Windows Device Association Broker service
  • Windows Digital Media
  • Windows DirectX
  • Windows ETL Channel
  • Windows Error Reporting
  • Windows Failover Cluster
  • Windows File Explorer
  • Windows Health and Optimized Experiences Service
  • Windows Hello
  • Windows High Availability Services
  • Windows Hyper-V
  • Windows Kernel
  • Windows Local Session Manager (LSM)
  • Windows Management Services
  • Windows MapUrlToZone
  • Windows NDIS
  • Windows NTFS
  • Windows NTLM
  • Windows PrintWorkflowUserSvc
  • Windows Push Notification Core
  • Windows Remote Access Connection Manager
  • Windows Remote Desktop
  • Windows Remote Desktop Protocol
  • Windows Remote Desktop Services
  • Windows Remote Procedure Call
  • Windows Resilient File System (ReFS)
  • Windows Resilient File System (ReFS) Deduplication Service
  • Windows Routing and Remote Access Service (RRAS)
  • Windows SMB Client
  • Windows SMB Server
  • Windows SSDP Service
  • Windows Server Update Service
  • Windows StateRepository API
  • Windows Storage Management Provider
  • Windows Taskbar Live
  • Windows USB Video Driver
  • Windows Virtualization-Based Security (VBS) Enclave
  • Windows WLAN Auto Config Service
  • XBox Gaming Services
  • Xbox

Solución:

Instalar la actualización de seguridad correspondiente.

[Actualización 27/10/2025]

Para abordar de forma integral la vulnerabilidad CVE-2025-59287, Microsoft ha lanzado una actualización de seguridad fuera de ciclo para las siguientes versiones compatibles de Windows Server: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2022, 23H2 Edition (instalación de Server Core) y Windows Server 2025. Tenga en cuenta que será necesario reiniciar el sistema después de instalar las actualizaciones.

 

Actualización de seguridad de Oracle

Se han publicado 187 vulnerabilidades de distintas severidades, entre ellas 12 críticas.

Recursos afectados:

  • Adaptadores de aplicaciones y big data de Oracle GoldenGate, versiones 21.3-21.19, 23.4-23.9
  • Aplicaciones Siebel, versiones anteriores a la 25.10
  • Ayuda financiera de PeopleSoft Enterprise CS, versión 9.2
  • Base de datos en memoria Oracle TimesTen, versiones 18.1.4.1.0-18.1.4.53.0, 22.1.1.1.0-22.1.1.35.0
  • Bibliotecas y herramientas comunes de Oracle Middleware, versiones 12.2.1.4.0, 14.1.2.0.0
  • Búsqueda guiada de Oracle Commerce, versión 11.4.0
  • Carga y control de la red de comunicaciones de Oracle, versiones 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0
  • Catálogo y diseño de servicios de comunicaciones de Oracle, versiones 8.0.0.5.0, 8.1.0.4.0, 8.2.0.1.0
  • Centro de diseño de precios de Oracle Communications, versiones 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0-15.0.1.0.0
  • Controlador de carga convergente de Oracle Communications, versiones 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0
  • Controlador de mediación sin conexión de Oracle Communications, versiones 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0
  • Enrutador de señalización Diameter de Oracle Communications, versiones 9.0.0.0.0, 9.1.0.0.0
  • Función de repositorio de red principal nativa de Oracle Communications Cloud, versiones 24.2.5 y 25.1.202
  • Función de selección de segmentos de red principal nativa de Oracle Communications Cloud, versiones 25.1.100-25.1.200
  • Función de soporte de enlace de núcleo nativo de Oracle Communications Cloud, versiones 24.2.7-25.1.200
  • Gestión de certificados nativos de Oracle Communications Cloud, versión 25.1.200
  • GoldenGate Stream Analytics, versiones 19.1.0.0.0-19.1.0.0.9
  • Herramientas de JD Edwards EnterpriseOne, versiones 9.2.0.0-9.2.9.4
  • Identity Manager, versiones 12.2.1.4.0, 14.1.2.1.0
  • Infraestructura de aplicaciones analíticas de Oracle Financial Services, versiones 8.0.7.9, 8.0.8.7, 8.1.2.5
  • JD Edwards EnterpriseOne Orchestrator, versiones 9.2.0.0-9.2.9.4
  • Kit de dispositivo de almacenamiento Oracle ZFS, versión 8.8
  • Management Cloud Engine, versión 25.1.0.0.0
  • MySQL Cluster, versiones 8.0.0-8.0.43, 8.4.0-8.4.6, 9.0.0-9.4.0
  • MySQL Enterprise Backup, versiones 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0
  • MySQL Shell, versiones 8.0.40-8.0.43, 8.4.3-8.4.6, 9.1.0-9.4.0
  • MySQL Workbench, versiones 8.0.0-8.0.43
  • Oracle Application Testing Suite, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle Banking Branch, versiones 14.5.0.0.0-14.8.0.0.0
  • Oracle Banking Corporate Lending Process Management, versiones 14.4.0.0.0-14.7.0.0.0
  • Oracle Banking Origination, versiones 14.5.0.0.0-14.7.0.0.0
  • Oracle BI Publisher, versiones 7.6.0.0.0, 8.2.0.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0
  • Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle Commerce Platform, versión 11.4.0
  • Oracle Communications Billing and Revenue Management, versiones 12.0.0.4.0-15.0.1.0.0
  • Oracle Communications Calendar Server, versiones 8.0.0.7.0, 8.0.0.8.0
  • Oracle Communications Cloud Native Core Automated Test Suite, versiones 24.2.6 y 25.1.202
  • Oracle Communications Cloud Native Core Console, versiones 24.2.5 y 25.1.200
  • Oracle Communications Cloud Native Core DBTier, versión 25.1.200
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 25.1.100 y 25.1.200
  • Oracle Communications Convergence, versiones 3.0.3.3.0, 3.0.3.4.0
  • Oracle Communications LSMS, versiones 13.5.1.0, 14.0.0.1, 14.0.0.2
  • Oracle Communications Network Analytics Data Director, versiones 24.2.0-24.2.1, 24.3.0, 25.1.100, 25.1.200
  • Oracle Communications Network Integrity, versiones 7.3.6, 7.4.0, 7.5.0
  • Oracle Communications Operations Monitor, versiones 5.1, 5.2, 6.0
  • Oracle Communications Order and Service Management, versiones 7.4.0, 7.4.1, 7.5.0
  • Oracle Communications Session Border Controller, versiones 4.1.0, 9.0.0, 9.2.0-9.3.0, 10.0.0
  • Oracle Communications Unified Assurance, versiones 6.1.0-6.1.1
  • Oracle Communications Unified Inventory Management, versiones 7.5.0-7.5.1, 7.6.0-7.8.0
  • Oracle Database Server, versiones 19.3-19.28, 21.3-21.19, 23.4-23.9
  • Oracle Documaker, versiones 12.7.2.4, 13.0.0.3, 13.0.1.1
  • Oracle E-Business Suite, versiones 12.2.3-12.2.14
  • Oracle Enterprise Communications Broker, versiones 4.1.0-4.2.0, 5.0.0
  • Oracle Enterprise Data Quality, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Enterprise Manager for Fusion Middleware, versiones 13.5, 24.1
  • Oracle Enterprise Operations Monitor, versiones 5.1, 5.2, 6.0
  • Oracle Essbase, versión 21.7.3.0.0
  • Oracle Financial Services Compliance Studio, versión 8.1.2.8
  • Oracle Financial Services Model Management and Governance, versiones 8.1.2.7, 8.1.3.2
  • Oracle Financial Services Revenue Management and Billing, versiones 2.9.0.0.0-7.2.0.0.0
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versión 8.0.8
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0
  • Oracle Global Lifecycle Management NextGen OUI Framework, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle GoldenGate Stream Analytics, versiones 19.1.0.0.0-19.1.0.0.12
  • Oracle GoldenGate Studio, versión 12.2.0.4.0
  • Oracle GoldenGate Veridata, versiones 12.2.1.4.0-12.2.1.4.250515, 23.1.0.0.0-23.4.0.0.0
  • Oracle GoldenGate, versiones 19.1.0.0.0-19.28.0.0.250715, 21.3-21.19, 23.4-23.9
  • Oracle GraalVM Enterprise Edition, versión 21.3.15
  • Oracle GraalVM para JDK, versiones 17.0.16, 21.0.8
  • Oracle Graph Server y Client, versiones 24.4.1, 24.4.3, 25.1.0, 25.3.0
  • Oracle Health Sciences Data Management Workbench, versiones 3.4.0.1.3 y 3.4.1.0.10
  • Oracle Healthcare Master Person Index, versiones 5.0.0.0-5.0.9.2
  • Oracle Hospitality Cruise Shipboard Property Management (SPMS), versión 23.2.5
  • Oracle Hyperion Calculation Manager, versión 11.2.22.0.0
  • Oracle Hyperion Data Relationship Management, versión 11.2.22.0.0
  • Oracle Hyperion Financial Management, versión 11.2.22.0.0
  • Oracle Hyperion Planning, versión 11.2.22.0.0
  • Oracle Insurance Policy Administration J2EE, versiones 11.3.1-12.0.5
  • Oracle Java SE, versiones 8u461, 8u461-b50, 8u461-perf, 11.0.28, 17.0.16, 21.0.8, 25
  • Oracle JDeveloper, versión 12.2.1.4.0
  • Oracle Life Sciences InForm, versión 7.0.1.0
  • Oracle Outside In Technology, versiones 8.5.7, 8.5.8
  • Oracle Retail Advanced Inventory Planning, versiones 15.0.3, 16.0.3
  • Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
  • Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
  • Oracle Retail Invoice Matching, versiones 15.0.3.1, 16.0.3
  • Oracle Retail Merchandising System, versiones 16.0.3, 19.0.1
  • Oracle Retail Price Management, versiones 15.0.3.1, 16.0.3, 19.0.1
  • Oracle Retail Sales Audit, versiones 15.0.3.1, 16.0.3, 19.0.1
  • Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
  • Oracle Retail Xstore Office, versiones 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1, 25.0.0
  • Oracle Retail Xstore Point of Service, versiones 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1, 25.0.0
  • Oracle Secure Backup, versión 19.1.0.1.0
  • Oracle Security Service, versión 12.2.1.4.0
  • Oracle SOA Suite, versión 14.1.2.0.0
  • Oracle Solaris Cluster, versión 4
  • Oracle Solaris, versión 11
  • Oracle Spatial Studio, versiones 24.2.0, 25.1.2
  • Oracle Transportation Management, versión 6.5.3
  • Oracle Utilities Application Framework, versiones 4.3.0.5.0, 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.4.0.4.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 4.5.0.2.0, 24.2.0.0.0, 24.3.0.0.0, 25.4, 25.10
  • Oracle VM VirtualBox, versiones 7.1.12, 7.2.2
  • Oracle WebCenter Forms Recognition, versión 14.1.1.0.0
  • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Paquete de gestión para Oracle GoldenGate, versión 12.2.1.2.0
  • PeopleSoft Enterprise FIN Cuentas por Pagar, versión 9.2
  • PeopleSoft Enterprise FIN Gestión de Mantenimiento, versión 9.2
  • PeopleSoft Enterprise FIN IT Asset Management, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.60, 8.61, 8.62
  • Plataforma base de Enterprise Manager, versiones 13.5, 24.1
  • Plataforma de detección de comportamiento de Oracle Financial Services, versiones 8.0.8.1, 8.1.2.9, 8.1.2.10
  • Política básica nativa de Oracle Communications Cloud, versiones 24.2.7-25.1.200
  • Portal de Oracle WebCenter, versión 12.2.1.4.0
  • Primavera Gateway, versiones 20.12.0-20.12.17, 21.12.0-21.12.15
  • Primavera P6 Enterprise Project Portfolio Management, versiones 20.12.0.0-20.12.21.0, 21.12.0.0-21.12.21.2, 22.12.0.0-22.12.20.0, 23.12.0.0-23.12.14.0, 24.12.0.0-24.12.4.0
  • Primavera Unifier, versiones 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.15, 24.12.0-24.12.9
  • Procesador de aplicaciones Oracle Communications EAGLE LNP, versiones 10.2.1.0, 11.0.0.1-11.0.0.2
  • Proxy de comunicación del servicio principal nativo de Oracle Communications Cloud, versiones 25.1.200 y 25.2.100
  • Proxy de protección de borde de seguridad nativa de Oracle Communications Cloud, versiones 24.2.5, 25.1.200 y 25.1.201
  • Repositorio de datos de Oracle Healthcare, versión 8.2.0.5
  • Repositorio de datos unificado de Oracle Communications Cloud Native Core, versiones 25.1.100 y 25.1.200
  • Servicios de datos REST de Oracle, versión 25.2.1
  • Servidor de aplicaciones predictivas para minoristas, versiones 15.0.3 y 16.0.3
  • Servidor de contactos de Oracle Communications, versión 8.0.0.9.0
  • Servidor de mensajería de Oracle Communications, versión 8.1.0.28;
  • Servidor MySQL, versiones 8.0.0-8.0.43, 8.4.0-8.4.6, 9.0.0-9.4.
  • Sistema de carga convergente de Oracle Communications, versiones 2.0.0.0.0-2.0.0.1.0
  • Sistema de gestión de elementos Oracle Communications EAGLE, versiones 46.6, 47.0
  • Sistema de gestión de red de Oracle Utilities, versiones 2.4.0.1.31, 2.5.0.1.15, 2.5.0.2.9, 2.6.0.1.8, 2.6.0.2.3
  • Sitios de Oracle WebCenter, versión 14.1.2.0.0
  • Tecnología de infraestructura Oracle Hyperion, versión 11.2.22.0.0

Solución:

Es necesario aplicar los parches correspondientes, según los productos afectados. 

 

Múltiples vulnerabilidades en productos de Sauter

Se han detectado 6 vulnerabilidades, 1 crítica, 3 altas, 1 media y 1 baja que permiten la escalada de privilegios, la explotación remota y el compromiso de la integridad, disponibilidad y confidencialidad del dispositivo.

Recursos afectados:

  • EY-modulo 5 ecos 5 ecos504/505, versiones de firmware anteriores a la 6.0
  • EY-modulo 5 modu 5 modu524, versiones de firmware anteriores a la 6.0
  • EY-modulo 5 modu 5 modu525, versiones de firmware anteriores a la 6.0
  • modulo 6 devices modu612-LC, versiones de firmware anteriores a la 3.2.0
  • modulo 6 devices modu660-AS, versiones de firmware anteriores a la 3.2.0
  • modulo 6 devices modu680-AS, versiones de firmwareanteriores a la 3.2.0

Solución:

Actualizar a la última versión de firmware, esto requiere disponer de CASE Suite Versión 5.2 SR5 o superior.

 

Vulnerabilidad crítica en productos de Raisecom

Se ha detectado una vulnerabilidad de severidad crítica que, cuya explotación podría permitir a un atacante obtener acceso al intérprete de comandos sin disponer de credenciales válidas.

Recursos afectados:

Las siguientes versiones de los productos Raisecom RAX701-GC:

  • RAX701-GC-WP-01 P200R002C52, versión de firmware 5.5.27_20190111;
  • RAX701-GC-WP-01 P200R002C53, versiones de firmware 5.5.13_20180720 y 5.5.36_20190709.

Solución:

Por el momento, no hay solución reportada.

 

Vulnerabilidad en CloudEdge App

Se ha detectado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante obtener acceso a la transmisión de vídeo en directo y al control de la cámara.

Recursos afectados:

CloudEdge App: versión 4.4.2.

Solución:

Se recomienda a los usuarios ponerse en contacto con CloudEdge o Meari Technolgies y mantener sus sistemas actualizados.

 

Múltiples vulnerabilidades en MinKNOW de Oxford Nanopore Technologies

Se han detectado 3 vulnerabilidades, 2 de severidad alta y 1 de severidad media, cuya explotación podría permitir a un atacante interrumpir las operaciones y los procesos de secuenciación, extraer y manipular datos, y eludir los controles de autenticación.

Recursos afectados:

  • MinKNOW: versiones anteriores a la 24.06 (CVE-2024-35585).
  • MinKNOW: versiones anteriores a la 24.11 (CVE-2025-54808, CVE-2025-10937).

Solución:

Se recomienda actualizar a versiones de MinKNOW posteriores a la 24.11 para eliminar estas vulnerabilidades.

 

Múltiples vulnerabilidades en productos de ABB

Se han publicado 2 vulnerabilidades, una de severidad crítica y otra de severidad alta, cuya explotación podría permitir a un atacante tomar el control remoto del producto y cambiar su configuración o acceder a directorios restringidos.

Recursos afectados:

  • ALS-mini-s4 IP y ALS-mini-s8 IP: todas las versiones de firmware están afectadas.
  • CoreSense™ HM: versiones iguales o anteriores a la 2.3.1.
  • CoreSense™ M10: versiones iguales o anteriores a la 1.4.1.12.

Solución:

Para los dispositivos ALS-mini-s4 IP y ALS-mini-s8 IP, se recomienda configurar correctamente el dispositivo en la red consultando la sección ‘Mitigation factors’ del aviso de las referencias o que apliquen soluciones alternativas para eliminar por completo el vector de ataque.

En cuanto al resto de dispositivos, actualizar a las siguientes versiones:

  • CoreSense™ HM: versión 2.3.4.
  • CoreSense™ M10: versión4.1.31.

 

Vulnerabilidad crítica en Epsilon RH

Se ha publicado una vulnerabilidad de severidad crítica que afecta a Epsilon RH de Grupo Castilla, cuya explotación podría permitir a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una petición POST utilizando el parámetro ‘sEstadoUsr’ en ‘/epsilonnetws/WSAvisos.asmx’.

Recursos afectados:

Epsilon RH.

Solución:

Actualizar a la versión 3.03.36.0121.

 

Vulnerabilidad en PASvisu Runtime de Pilz

Se ha detectado una vulnerabilidad de severidad alta que, cuya explotación podría provocar que el programa deje de funcionar.

Recursos afectados:

PASvisu versión 1.15.0 y anteriores. También en los siguientes firmwares:

  • Firmware PMI v70Xe versión 03.00.00 y anteriores instalado en PMIv7xxe
  • Firmware PMI v8 versión 2.2.1 y anteriores instalado en PMIv8xx

Solución:

Actualizar a la última versión. Las versiones actuales recomendadas son:

  • PASvisu 1.15.1
  • Firmware PMI v70Xe (visu 1.15.1) 03.01.00
  • Firmware PMI v8 Assistant (visu 1.15.1) 2.2.2

 

[Actualización 20/10/2025] Vulnerabilidad en CNCSoft-G2 de Delta Electronics

Se ha detectado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.

[Actualización 20/10/2025]

Se ha detectado otra vulnerabilidad de severidad alta en el producto, cuya explotación podría permitir a un atacante ejecutar código en el contexto del proceso en ejecución.

Recursos afectados:

CNCSoft-G2: Versiones 2.0.0.5 (con DOPSoft v5.0.0.93) y anteriores.

[Actualización 20/10/2025]

Para la nueva vulnerabilidad descubierta (CVE-2025-58319), la versión afectada es la 2.1.0.27 y anteriores.

Solución:

Se recomienda actualizar a CNCSoft-G2 v2.1.0.4 o posterior.

[Actualización 20/10/2025]

Con la nueva vulnerabilidad descubierta, se recomienda actualizar a la versión CNCSoft-G2 2.1.0.34 que soluciona ambas vulnerabilidades.

 

Vulnerabilidad crítica en Squid

Se ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto llevar a cabo una divulgación de información sensible.

Recursos afectados:

Squid, versiones anteriores a la 7.2.

Solución:

Squid ha solucionado la vulnerabilidad en la versión 7.2.

 

Múltiples vulnerabilidades en Vision 60 de Ghost Robotics

Se han publicado 3 vulnerabilidades, 1 de severidad crítica y 2 de severidad alta, que afectan a Vision 60 de Ghost Robotics.

Recursos afectados:

Vision 60, versión 0.27.2.

Solución:

No hay solución reportada por el momento.

 

Múltiples vulnerabilidades en productos de Moxa

Se han publicado 5 vulnerabilidades, 3 de severidad crítica, 1 alta y 1 media, cuya explotación podría realizar operaciones privilegiadas no autorizadas, acceder o modificar la configuración sensible del sistema, provocar un consumo mínimo de recursos, obtener control total como administrador sobre el dispositivo afectado o comprometer completamente el sistema.

Recursos afectados:

  • Serie EDR-G9010: v3.14 y anteriores.
  • Serie EDR-8010: v3.17 y anteriores.
  • Serie EDF-G1002-BP: v3.17 y anteriores.
  • Serie TN-4900: v3.14 y anteriores.
  • Serie NAT-102: v3.17 y anteriores.
  • Serie NAT-108: v3.16 y anteriores.
  • Serie OnCell G4302-LTE4: v3.13 y anteriores.

Solución:

Actualizar los productos afectados a la versión 3.21 o posterior. En el caso del producto OnCell G4302-LTE4, se recomienda ponerse en contacto con el soporte técnico de Moxa.

 

Múltiples vulnerabilidades en Cobalt de Ashlar-Vellum

Se han detectado 3 vulnerabilidades de severidad alta que, si se explotan, permiten la ejecución de código arbitrario en el dispositivo afectado.

Recursos afectados:

Cobalt.

Solución:

De momento, no hay disponible ninguna solución.

 

Actualizaciones de seguridad de Microsoft

Se han detectado 175 vulnerabilidades, calificadas 5 como críticas, 121 como altas, 46 como medias y 3 como bajas.

Recursos afectados:

  • .NET
  • .NET, .NET Framework, Visual Studio
  • NET Core
  • Active Directory Federation Services
  • Agere Windows Modem Driver
  • Azure Connected Machine Agent
  • Azure Entra ID
  • Azure Local
  • Azure Monitor
  • Azure Monitor Agent
  • Azure PlayFab
  • Confidential Azure Container Instances
  • Connected Devices Platform Service (Cdpsvc)
  • Copilot
  • Data Sharing Service Client
  • GitHub
  • Inbox COM Objects
  • Internet Explorer
  • JDBC Driver for SQL Server
  • Microsoft Brokering File System
  • Microsoft Configuration Manager
  • Microsoft Defender for Linux
  • Microsoft Exchange Server
  • Microsoft Failover Cluster Virtual Driver
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft PowerShell
  • Microsoft Windows
  • Microsoft Windows Search Component
  • Microsoft Windows Speech
  • Network Connection Status Indicator (NCSI)
  • NtQueryInformation Token function (ntifs.h)
  • Redis Enterprise
  • Remote Desktop Client
  • Software Protection Platform (SPP)
  • sys Driver
  • Virtual Secure Mode
  • Visual Studio
  • Windows Ancillary Function Driver for WinSock
  • Windows Authentication Methods
  • Windows BitLocker
  • Windows Bluetooth Service
  • Windows COM
  • Windows Cloud Files Mini Filter Driver
  • Windows Connected Devices Platform Service
  • Windows Core Shell
  • Windows Cryptographic Services
  • Windows DWM
  • Windows DWM Core Library
  • Windows Device Association Broker service
  • Windows Digital Media
  • Windows DirectX
  • Windows ETL Channel
  • Windows Error Reporting
  • Windows Failover Cluster
  • Windows File Explorer
  • Windows Health and Optimized Experiences Service
  • Windows Hello
  • Windows High Availability Services
  • Windows Hyper-V
  • Windows Kernel
  • Windows Local Session Manager (LSM)
  • Windows Management Services
  • Windows MapUrlToZone
  • Windows NDIS
  • Windows NTFS
  • Windows NTLM
  • Windows PrintWorkflowUserSvc
  • Windows Push Notification Core
  • Windows Remote Access Connection Manager
  • Windows Remote Desktop
  • Windows Remote Desktop Protocol
  • Windows Remote Desktop Services
  • Windows Remote Procedure Call
  • Windows Resilient File System (ReFS)
  • Windows Resilient File System (ReFS) Deduplication Service
  • Windows Routing and Remote Access Service (RRAS)
  • Windows SMB Client
  • Windows SMB Server
  • Windows SSDP Service
  • Windows Server Update Service
  • Windows StateRepository API
  • Windows Storage Management Provider
  • Windows Taskbar Live
  • Windows USB Video Driver
  • Windows Virtualization-Based Security (VBS) Enclave
  • Windows WLAN Auto Config Service
  • XBox Gaming Services
  • Xbox

Solución:

Instalar la actualización de seguridad correspondiente.

 

Vulnerabilidad crítica en Moodle

Se ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir los mecanismos de autenticación.

Recursos afectados:

Moodle, versiones 5.0 a 5.0.2, 4.5 a 4.5.6 y 4.4 a 4.4.10.

Solución:

Moodle ha solucionado la vulnerabilidad en las versiones 5.0.3, 4.5.7 y 4.4.11.

 

Vulnerabilidad crítica en productos TIBCO

Se ha publicado ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante obtener privilegios de administrador mediante una omisión de autenticación.

Recursos afectados:

  • ibi WebFOCUS 9.1.3 y versiones anteriores.
  • ibi WebFOCUS 9.2.2 y versiones anteriores.

Solución:

  • WebFOCUS versión 9.1.3: actualizar WebFOCUS a la versión 9.1.4 o superior.
  • WebFOCUS versión 9.2.2: actualizar WebFOCUS a la versión 9.2.3 o superior.
  • Se recomienda a los clientes en general que se pasen a la versión 9.3.x y utilicen la última versión disponible.

 

Múltiples vulnerabilidades en EPMM y MDM de Ivanti

Se han publicado 7 vulnerabilidades, 5 de severidad alta y 2 medias que de ser explotadas podrían provocar una ejecución remota de código.

Recursos afectados:

  • Endpoint Manager Mobile: 12.6.0.1, 12.5.0.2, 12.4.0.3 y todos los anteriores.
  • Neuronas Ivanti para MDM: R118 y anteriores.

Solución:

  • Actualizar a Ivanti Endpoint Manager Mobile 12.6.0.2, 12.5.0.4 y 12.4.0.4.
  • Actualizar a Neuronas Ivanti para MDM: R119.

 

Vulnerabilidad en IPP de Eaton

Se ha detectado una vulnerabilidad de severidad alta, cuya explotación podría permitir la ejecución de código arbitrario.

Recursos afectados:

Eaton IPP software, versiones anteriores a 1.76.

Solución:

Actualizar el producto a la versión 1.76.

 

Vulnerabilidad en firmwares de Murrelektronik

Se ha detectado una vulnerabilidad de severidad alta que, cuya explotación podría permitir a un atacante obtener las credenciales del usuario que esté utilizando la red en ese momento.

Recursos afectados:

Las versiones anteriores a la 1.08.01 de los siguientes productos de Murrelektronik Firmware Impact67:

  • Pro 54620
  • Pro 54630
  • Pro 54631
  • Pro 54632

Solución:

Actualmente no hay disponible ningún parche. El fabricante recomienda seguir medidas para reducir el riesgo.

 

Vulnerabilidad en EcoStruxure de Schneider

Se ha detectado una vulnerabilidad de severidad alta, cuya explotación podría provocar una denegación de servicio en la plataforma de comunicación OPC UA.

Recursos afectados:

  • EcoStruxure™ OPC UA Server Expert, versiones anteriores a SV2.01 SP3.
  • EcoStruxure™ Modicon Communication Server, todas las versiones.

Solución:

  • Para el producto EcoStruxure™ OPC UA Server Expert, actualizar a la versión SV2.01 SP3.
  • Para el producto EcoStruxure™ Modicon Communication Server aún no hay un parche disponible. Se recomienda seguir las medidas del fabricante para reducir el riesgo.

 

Múltiples vulnerabilidades en productos de Rockwell Automation

Se han publicado 12 vulnerabilidades, 1 de severidad crítica y 11 de severidad alta, cuya explotación podrían permitir a un atacante provocar una denegación de servicio, un fallo grave e irrecuperable, eliminar cualquier archivo del sistema operativo o acceder a información sensible.

Recursos afectados:

  • FactoryTalk Linx: 6.40 y anteriores (CVE-2025-9067 y CVE-2025-9068)
  • Comunicaciones – 1783-NATR: 1.006 y anteriores (CVE-2025-7328, CVE-2025-7329, CVE-2025-7330)
  • FactoryTalk View Machine Edition: versiones anteriores a V15.00 (CVE-2025-9064)
  • PanelView Plus 7 Serie de rendimiento B: V14.100 (CVE-2025-9063)
  • GuardLogix® 5370 compacto: versión 30.012 y anteriores (CVE-2025-9124)
  • Terminal Panel View Plus 7: versión 14 y anteriores (CVE-2025-9066)
  • ArmorStart® AOP: V2.05.07 (CVE-2025-9437)
  • Adaptador Ethernet/IP 1715-AENTR: versión 3.003 y anteriores (CVE-2025-9177 y CVE-2025-9178)

Solución:

Según el producto, actualizarlo a la siguiente versión:

  • FactoryTalk Linx: 6.50 y posteriores
  • Comunicaciones – 1783-NATR: 1.007 y posteriores
  • FactoryTalk View Machine Edition: V15.00 y posteriores en ASEM 6300 IPC y parche BF31001
  • PanelView Plus 7 Serie de rendimiento B: V14.103paquete de firmware
  • GuardLogix® 5370 compacto: Versión 30.14 y posteriores
  • Terminal Panel View Plus 7: performance Series A v12, v13, v14 parche AID BF30506 (corrección de firmware)
  • ArmorStart® AOP: No disponible
  • Adaptador Ethernet/IP 1715-AENTR: versión 3.011 y posteriores

 

Múltiples vulnerabilidades en productos de Sergestec

Se han publicado 4 vulnerabilidades, entre ellas, 2 de severidad crítica, 1 de severidad alta y 1 de severidad media, que afectan a Exito y SISTICK de Sergestec, un software de gestión de información.

Recursos afectados:

  • Exito, versión 8.0
  • SISTICK, versión 7.2

Solución:

No hay solución reportada por el momento.

 

Actualización de seguridad de SAP

Se han detectado 13 vulnerabilidades, 3 de severidad crítica, 2 de severidad alta y 8 de severidad media y baja, cuya explotación podría permitir a un atacante explotar vulnerabilidades de deserialización insegura, recorrido de directorios o archivos sin restricciones.

Recursos afectados:

  • NetWeaver AS Java, SERVERCORE 7.50.
  • Print Service, SAPSPRINT 8.00 y 8.1
  • Supplier Relationship Management, SRMNXP01 100 y 150
  • Commerce Cloud, HY_COM 2205, COM_CLOUD 2211 y 2211-JDK21
  • Data Hub Integration Suite, CX_DATAHUB_INT_PACK 2205
  • Application Server for ABAP, SAP_BASIS 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758 y 816
  • NetWeaver AS ABAP y ABAP Platform, KRNL64NUC 7.22, 7.22EXT, KRNL64UC 7.22, 7.22EXT, 7.53, KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.14, 9.15 y 9.16
  • S/4HANA, S4CORE 104, 105, 106, 107, 108 y 109
  • Financial Service Claims Management, INSURANCE 803, 804, 805, 806, S4CEXT 107, 108 y 109
  • BusinessObjects, ENTERPRISE 430, 2025 y 2027
  • Cloud Appliance Library Appliances, TITANIUM_WEBAPP 4.0

Solución:

Se recomienda visitar el portal de soporte y aplicar los parches de forma prioritaria.

 

Actualización de seguridad de Siemens

Siemens ha publicado varias actualizaciones de seguridad de diferentes productos.

Recursos afectados:

  • SiPass integrated
  • Solid Edge SE2024
  • Solid Edge SE2025
  • SIMATIC ET 200SP procesadores de comunicaciones:
    • CP 1542SP-1
    • CP 1542SP-1 IRC, incluidas las variantes SIPLUS
    • CP 1543SP-1, incluidas las variantes SIPLUS
  • HyperLynx
  • Industrial Edge App Publisher
  • SINEC NMS
  • TeleControl Server Basic V3.1

Solución:

En el panel de descarga de Siemens se pueden obtener las últimas versiones de los productos de los que se han parcheado las vulnerabilidades.

 

Múltiples vulnerabilidades en productos de Phoenix Contact

Se han publicado 5 vulnerabilidades, entre ellas, 2 de severidad alta y 3 de severidad media, cuya explotación podrían permitir a un atacante realizar una denegación de servicio (DoS) o una inyección de código.

Recursos afectados:

  • FW <1.7.4 installed on CHARX SEC-3150
  • FW <1.7.4 installed on CHARX SEC-3100
  • FW <1.7.4 installed on CHARX SEC-3050
  • FW <1.7.4 installed on CHARX SEC-3000
  • QUINT4-UPS/24DC/24DC/5/EIP VC:00<VC:07
  • QUINT4-UPS/24DC/24DC/10/EIP VC:00<VC:07
  • QUINT4-UPS/24DC/24DC/20/EIP VC:00<VC:07
  • QUINT4-UPS/24DC/24DC/40/EIP VC:00<VC:07
  • QUINT4-UPS/24DC/24DC/5/EIP VC:07
  • QUINT4-UPS/24DC/24DC/10/EIP VC:07
  • QUINT4-UPS/24DC/24DC/20/EIP VC:07
  • QUINT4-UPS/24DC/24DC/40/EIP VC:07

Solución:

  • Actualizar el firmware a la versión 1.7.4 (CVE2025-41699).
  • A partir de la versión VC:07, todos los dispositivos nuevos incluirán actualizaciones de firmware que solucionan cuatro
    vulnerabilidades (CVE-2025-41704, CVE-2025-41705, CVE-2025-41706 y CVE-2025-41707).

 

Actualización de seguridad de Juniper

Se han publicado 115 vulnerabilidades, de las cuales 9 son de severidad crítica, 64 altas, 61 medias, 6 bajas y al resto no se les ha asignado criticidad.

Recursos afectados:

Juniper Networks Junos Space anteriores a la versión 24.1R4 del parche V1.

Solución:

Se han actualizado versiones de software en Junos Space 24.1R4 Patch V1 y las versiones posteriores.

 

Múltiples vulnerabilidades en OS4ED de OpenSIS

Se han publicado 7 vulnerabilidades, 5 de severidad alta y 2 de severidad media, que afectan a OpenSIS de OS4ED, un sistema de gestión de información estudiantil.

Recursos afectados:

OS4ED, versión 9.1.

Solución:

No hay solución reportada por el momento.

 

Vulnerabilidad en en Gandia Integra Total de TESI

Se ha publicado una vulnerabilidad de severidad alta, que afecta a Gandia Integra Total de TESI, un software para la gestión de encuestas y análisis de mercados. 

Recursos afectados:

Gandia Integra Total, versiones anteriores a 4.4.2246.2.

Solución:

La vulnerabilidad ha sido solucionada en la versión 4.4.2446.2.

 

Múltiples vulnerabilidades en Melis Platform

Se han publicado 3 vulnerabilidades de severidad crítica, que afectan a Melis Platform de Melis Technology, una plataforma digital todo-en-uno, diseñada para crear, gestionar y desplegar aplicaciones web.

Recursos afectados:

  • Melis Platform módulo melis-cms, versiones anteriores a 5.3.4.
  • Melis Platform módulo melis-core, versiones anteriores a 5.3.11.
  • Melis Platform módulo melis-cms-slider, versiones anteriores a 5.3.1.

Solución:

Las vulnerabilidades han sido solucionadas en los módulos melis-cms v5.3.4, melis-core v5.3.11 y melis-cms-slider v.5.3.1.

 

Múltiples vulnerabilidades en V-SFT de FUJI ELECTRIC

Se han detectado 9 vulnerabilidades de severidad alta que podrían permitir a atacante provocar una divulgación de información, fin anormal de sistema afectado o ejecución de código arbitrario.

Recursos afectados:

V-SFT v6.2.7.0 y anteriores.

Solución:

Actualizar el software a la última versión disponible.

 

Múltiples vulnerabilidades en productos de ABB

Se han publicado 2 vulnerabilidades: una de severidad crítica y otra alta, cuya explotación podrían provocar la parada de la máquina, o que un atacante pueda acceder a información sensible del dispositivo y modificar su configuración.

Recursos afectados:

Según la vulnerabilidad los productos afectados son:

  • CVE-2025-3450
    • Automation Runtime, versiones anteriores a:
      • 3
      • 93
    • CVE-2021-22291
      • EIBPORT V3 KNX, versión de firmware anterior a 3.9.2
      • EIBPORT V3 KNX GSM, versión de firmwareanterior a 3.9.2

Solución:

Actualizar el producto a la última versión lo antes posible.

 

Múltiples vulnerabilidades en WGR-500 de Planet

Se han detectado 9 vulnerabilidades de severidad alta que podrían provocar daños en la memoria, un desbordamiento de búfer en la pila o ejecución arbitraria de comandos.

Recursos afectados:

Planeta WGR-500 v1.3411b190912.

Solución:

No se ha reportado solución por el momento.

 

[Actualización 08/10/2025] Múltiples vulnerabilidades en productos de Rockwell

Se han detectado 19 vulnerabilidades en los productos Rockwell, 5 de ellas de severidad crítica y 14 altas, cuya explotación podrían permitir una elevación completa de privilegios, la gestión de drivers, incluida su creación, actualización y eliminación, y la ejecución remota de código, entre otras.

Recursos afectados:

  • FactoryTalk Action Manager
  • FactoryTalk Viewpoint
  • FactoryTalk Linx
  • ControlLogix Ethernet
  • ArmorBlock 5000 I/O
  • Micro800
  • Studio 5000 Logix Designer
  • FLEX 5000 I/O

[Actualización 08/10/2025]

Los siguientes productos también se ven afectados:

  • 1756-EN4TR, versión 6.001 y anteriores
  • 1756-EN4TRXT, versión 6.001 y anteriores

Solución:

Actualizar a la última versión del producto.

 

Múltiples vulnerabilidades en productos IBM

Se ha publicado 2 avisos con 4 vulnerabilidades en total, 2 de ellas de severidad crítica y 2 alta. Las vulnerabilidades críticas, en caso de ser explotadas, podrían permitir a un atacante aumentar sus privilegios a root y ejecutar código arbitrario en el sistema afectado.

Recursos afectados:

Para las vulnerabilidades CVE-2025-36354 (alta), CVE-2025-36355 (alta), CVE-2025-36356 (crítica):

  • IBM Verify Identity Access Docker, versiones desde 11.0.0.0 hasta 11.0.1.0
  • IBM Security Verify Access Docker, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2
  • IBM Verify Identity Access Appliance, versiones desde 11.0.0.0 hasta 11.0.1.0
  • IBM Security Verify Access Appliance, versiones desde 10.0.0.0 hasta 10.0.9.0-IF2

Para la vulnerabilidad CVE-2023-49886 (crítica):

  • IBM Transformation Extender Advanced, versión 10.0.1

Solución:

Actualizar a la última versión.

 

Vulnerabilidad en E-Business Suite de Oracle

Se ha publicado una vulnerabilidad de severidad critica que podría permitir una ejecución remota de código.

Recursos afectados:

Oracle E-Business Suite, versiones 12.2.3-12.2.14. (Componente: Integración de BI Publisher).

Solución:

Oracle a publicado un parche para solucionar esta vulnerabilidad.

 

Vulnerabilidad en el módulo mod_vvisit_counter

Se ha publicado una vulnerabilidad de severidad crítica de inyección SQL en el módulo de Joomla! mod_vvisit_counter v2.0.4j3, que permite a un atacante recuperar el contenido de la base de datos a través de la cookie “cip_vvisitcounter” en todos los puntos de conexión (endpoint) en los que el plugin cuenta las visitas.

Recursos afectados:

mod_vvisit_counter, versión 2.0.4j3

Solución:

El producto ha llegado al final de su vida útil (EoL), por lo que no existe solución.

 

Múltiples vulnerabilidades en MSM de Hitachi Energy

Se han reportado 2 vulnerabilidades de severidad alta que podría permitir la inyección HTML a través de un parámetro.

Recursos afectados:

MSM: versiones 2.2.10 y anteriores.

Solución:

Seguir las pautas de mitigación para evitar el riesgo en el aviso oficial de Hitachi Energy (ICSA-25-275-02 – Hitachi Energy MSM Product).

 

Vulnerabilidad en impresoras 3D de Pro2 Series de Raise3D

Se ha detectado una vulnerabilidad de severidad alta que, cuya explotación podría permitir la exfiltración de datos y llegar a comprometer el dispositivo.

Recursos afectados:

El firmware de todas las versiones de impresoras de Rasie3D Pro2 Series.

Solución:

El fabricante está trabajando en un parche, pero aún no está disponible. Se recomienda deshabilitar el modo «desarrollador» si no es necesario.

 

Vulnerabilidad en OpenSIAC del grupo GTT

Se ha publicado una vulnerabilidad de severidad crítica que afecta a OpenSIAC de grupo GTT, una plataforma de gobierno digital que se emplea para gestionar expedientes, trámites y servicios al ciudadano por parte de las Administraciones Públicas.

Recursos afectados:

OpenSIAC, versión 1.0.

Nota: el problema se limita a aquellos clientes que utilizan Cl@ve como sistema de identificación.

Solución:

Actualizar a la versión 1.2.

 

Múltiples vulnerabilidades en ViDay

Se han publicado publicación de 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, que afectan a ViDay.

Recursos afectados:

ViDay

Solución:

No hay solución por el momento.

 

Múltiples vulnerabilidades en productos de Keyence

Se han detectado 6 vulnerabilidades de severidad alta que, cuya explotación podría permitir ejecutar código arbitrario en el producto afectado.

Recursos afectados:

Según la vulnerabilidad, los productos afectados son los siguientes:

  • CVE-2025-58775:
    • KV STUDIO versión 12.23 y anteriores
    • VT5-WX15/WX12 versión 7.11 y anteriores
  • CVE-2025-58776 y CVE-2025-61690:
    • KV STUDIO versión 12.23 y anteriores
  • CVE-2025-58777, CVE-2025-61691 y CVE-2025-61692:
    • VT STUDIO versión 8.53 y anteriores

Solución:

Actualizar el producto a la siguiente versión o posterior:

  • KV STUDIO versión 12.32
  • VT5-WX15/WX12 versión 7.12
  • VT STUDIO versión 8.54

 

Múltiples vulnerabilidades en Telco Service Orchestrator de HPE

Se han publicado 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 media, cuya explotación podrían permitir una denegación de servicio (DoS), inyección SQL, divulgación de información sin necesidad de autenticación y la asignación de recursos sin límites ni restricciones.

Recursos afectados:

HPE Telco Service Orchestrator anterior a la versión 5.3.5.

Solución:

Actualizar a la versión 5.3.5 o posterior.

 

Vulnerabilidad en cámaras de LG Innotek

Se ha detectado una vulnerabilidad de severidad alta que, cuya explotación podría permitir a un atacante obtener permisos de administrador en el dispositivo.

Recursos afectados:

Los siguientes modelos de cámaras de circuito cerrado (CCTV) de LG Innotek:

  • LG LND7210, todas las versiones
  • LG LNV7210R, todas las versiones

Solución:

No existen parches que solucionen el problema. Se recomienda en la medida de lo posible actualizar los productos.

 

Vulnerabilidad en Telenium Online Web Application de Megasys Enterprises

Se ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante, no autenticado, inyectar comandos arbitrarios del sistema operativo a través de una solicitud HTTP diseñada, lo que daría lugar a la ejecución remota de código en el servidor en el contexto de seguridad de la cuenta del servicio de la aplicación web.

Recursos afectados:

Aplicación web Telenium Online: versiones 8.4.21 y anteriores.

Solución:

Se recomienda acceder a la página de asistencia de Megasys y seguir las instrucciones para solucionar la vulnerabilidad.

 

Múltiples vulnerabilidades en productos de Festo

Se han detectado 34 vulnerabilidades que afectan a sus productos, 5 de severidad crítica, 23 alta y 6 de severidad media, cuya explotación podría provocar la caída de los servicios, escalada de privilegios, eludir la autenticación u obtener acceso no autorizado a información sensible.

Recursos afectados:

  • Festo Firmware (R05 (17.06.2016) = 2.3.8.0) instalado en Festo Hardware Controller CECC-D (todas las versiones)
  • Festo Firmware (R06 (11.10.2016) = 2.3.8.1) instalado en Festo Hardware Controller CECC-LK (todas las versiones)
  • Festo Firmware (R05 (17.06.2016) = 2.3.8.0) instalado en Festo Hardware Controller CECC-S (todas las versiones)
  • Festo Firmware (R06 (11.10.2016) = 2.3.8.1) instalado en Festo Hardware Controller CECC-LK (todas las versiones)
  • Festo Firmware (R05 (17.06.2016) = 2.3.8.0) instalado en Festo Hardware Controller CECC-S (todas las versiones)
  • Festo Firmware (R06 (11.10.2016) = 2.3.8.1) instalado en Festo Hardware Controller CECC-S (todas las versiones)
  • Festo Firmware instalado en Festo Hardware Control block CPX-CEC-C1, versiones 2.0.12 y anteriores
  • Festo Firmware instalado en Festo Hardware Control block CPX-CMXX, versiones 1.2.34 rev.404 y anteriores
  • Festo Firmware instalado en Festo Hardware Control block-SET CPX-CEC-C1, versiones 1.2.34 rev.404 y anteriores
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R1B, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R1B-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R1C, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R1C-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R2B, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R2B-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R2C, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R3B-WB, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R3B-WB-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R3C-WB, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOC-Q-R3C-WB-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R1B, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R1B-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R1C, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R1C-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R3B-WB, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R3B-WB-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R3C-WB, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBOI-Q-R3C-WB-S1, todas las versiones
  • Festo Firmware instalado en Festo Hardware SBRD-Q, todas las versiones

Solución:

Actualizar el producto a la última versión. En caso de que no sea posible, se recomienda seguir las indicaciones del fabricante.

 

Múltiples vulnerabilidades en Circuit Design Suite de National Instruments

Se han detectado dos vulnerabilidades de severidad alta que podrían permitir a un atacante causar corrupción en la memoria, lo que potencialmente llevaría a la divulgación de información y la ejecución de código arbitrario.

Recursos afectados:

Circuit Design Suite: versiones v14.3.1 y anteriores.

Solución:

Actualizar a la versión 14.3.2 o posterior desde NI Package Manager o descargas de software.

 

[Actualización 01/10/2025] Múltiples vulnerabilidades en productos Ixia Vision de Keysight

Se ha detectado una vulnerabilidad de severidad alta y 3 media, que podrían provocar el bloqueo del dispositivo al que se acceda o la ejecución remota de código. 

[Actualización 01/10/2025]

Se ha detectado una nueva vulnerabilidad de severidad alta que podría permitir a un atacante interceptar o descifrar las cargas útiles enviadas al dispositivo.

Recursos afectados:

Familia de productos Ixia Vision: Versiones 6.3.1.

Solución:

Actualizar a la última versión del producto.

error: ¡Lo sentimos! El contenido de esta web está protegido.