Se han descubierto vulnerabilidades de severidad alta en productos Siemens. Un actor malicioso podría ejecutar código arbitrario con privilegios elevados o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
- SINEC NMS, versiones anteriores a V4.0 SP2.
- User Management Component (UMC), versiones anteriores a V2.15.2.1.
- PS/IGES Parasolid Translator Component, versiones anteriores a V29.0.258.
- Solid Edge, versiones anteriores a V226.00 Update 03.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-25656: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de elemento de ruta de búsqueda no controlada. Un actor malicioso con bajos privilegios podría modificar archivos de configuración para cargar bibliotecas DLL maliciosas, permitiendo la ejecución de código arbitrario con privilegios de SYSTEM.
CVE-2026-25655: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de elemento de ruta de búsqueda no controlada. Un actor malicioso con bajos privilegios podría modificar archivos de configuración para cargar bibliotecas DLL maliciosas, permitiendo la ejecución de código arbitrario con privilegios administrativos.
CVE-2025-40936: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de lectura fuera de límites. Un actor malicioso podría ejecutar código arbitrario o provocar la caída de la aplicación mediante el procesamiento de archivos IGS especialmente diseñados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias