Resumen ejecutivo
ABB ha publicado 2 avisos de seguridad en los que informan de dos vulnerabilidades: una de severidad crítica y otra alta que, en caso de ser explotadas, podrían provocar la parada de la máquina, o que un atacante pueda acceder a información sensible del dispositivo y modificar su configuración.
Recursos afectados
Según la vulnerabilidad los productos afectados son:
- CVE-2025-3450
- Automation Runtime, versiones anteriores a:
- 6.3;
- Q4.93.
- Automation Runtime, versiones anteriores a:
- CVE-2021-22291
- EIBPORT V3 KNX, versión de firmware anterior a 3.9.2;
- EIBPORT V3 KNX GSM, versión de firmware anterior a 3.9.2.
Análisis técnico
- CVE-2025-3450. severidad crítica. Bloqueo incorrecto de recursos en el componente SDM de B&R Automation. Un atacante, no autenticado, que esté en la misma red puede enviar un fichero especialmente manipulado al nodo del sistema, lo que provocará que se elimine información del equipo y hará que el sistema deje de funcionar.
- CVE-2021-22291. severidad alta. Cross-site scripting (XSS) reflejado. No se neutralizan correctamente las entradas cuando se está generando la página web, lo que hace que un atacante pueda recibir una copia del ID de sesión y, con ello, acceder a información sensible del dispositivo y modificar su configuración.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-3450 | Crítica | No | ABB |
| CVE-2021-22291 | Alta | No | ABB |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Mitigación / Solución
Actualizar el producto a la última versión lo antes posible.