Siemens ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus productos. Estas podrían permitir la ejecución de código arbitrario, escritura/lectura de archivos arbitrarios, divulgación de información u omisión de funciones de seguridad.
Productos afectados
- Versiones básicas de TeleControl Server anteriores a la 3.1.2.2
Impacto
Las vulnerabilidadesse han identificado como:
CVE-2025-27495: con una puntuación de 9.8 en CVSS v3.1. La aplicación afectada es vulnerable a la inyección de SQL mediante el método interno “CreateTrace”. Esto podría permitir que un actor malicioso remoto no autenticado eluda los controles de autorización, lea y escriba en la base de datos de la aplicación y ejecute código con permisos elevados.
CVE-2025-27539: con una puntuación de 9.8 en CVSS v3.1. La aplicación afectada es vulnerable a la inyección de SQL mediante el método interno “VerifyUser”. Esto podría permitir que un actor malicioso remoto no autenticado eluda los controles de autorización, lea y escriba en la base de datos de la aplicación y ejecute código con permisos elevados.
CVE-2025-27540: con una puntuación de 9.8 en CVSS v3.1. La aplicación afectada es vulnerable a la inyección de SQL mediante el método interno “Authenticate”. Esto podría permitir que un actor malicioso remoto no autenticado eluda los controles de autorización, lea y escriba en la base de datos de la aplicación y ejecute código con permisos elevados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Si no es posible aplicar la actualización, implemente las mitigaciones descritas en el boletín de seguridad correspondiente.
Referencias
- https://cert-portal.siemens.com/productcert/html/ssa-443402.html
- https://www.cve.org/CVERecord?id=CVE-2025-27495
- https://www.cve.org/CVERecord?id=CVE-2025-27539
- https://www.cve.org/CVERecord?id=CVE-2025-27540