Se han descubierto vulnerabilidades de severidad alta en productos Siemens. Un actor malicioso podría realizar una escalada de privilegios, omitir los mecanismos de autenticación o restablecer contraseñas de cuentas de usuario arbitrarias.
Productos afectados
- SINEC NMS: versiones anteriores a 4.0 SP3.
- RUGGEDCOM CROSSBOW Secure Access Manager Primary (SAM-P): versiones anteriores a 5.8.
- SCALANCE W-700: versiones anteriores a 6.6.0.
- Gestión de la vanguardia industrial (Industrial Edge Management).
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-25654: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de omisión de autorización mediante claves controladas por el usuario. Un actor malicioso remoto y autenticado podría explotar el procesamiento incorrecto de solicitudes de restablecimiento de contraseña para cambiar la clave de acceso de cualquier cuenta de usuario en el sistema.
CVE-2026-27668: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de asignación incorrecta de privilegios. Un actor malicioso remoto y autenticado con rol de Administrador de Usuarios podría escalar sus propios privilegios de forma no autorizada para otorgarse acceso a cualquier grupo de dispositivos con cualquier nivel de permiso.
CVE-2026-24032: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de verificación inadecuada de firma criptográfica en el componente UMC. Un actor malicioso remoto y no autenticado podría omitir los procesos de autenticación y obtener acceso no autorizado a la aplicación debido a una validación insuficiente de la identidad del usuario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias