Importancia
5 - Crítica
Recursos Afectados
- myPRO Manager: versiones anteriores a 1.3;
- myPRO Runtime: versiones anteriores a 9.2.1.
Descripción
Mehmet INCE (@mdisec) de PRODAFT.com, en colaboración con Trend Micro Zero Day Initiative (ZDI), ha reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información sensible.
Solución
MySCADA recomienda actualizar a las últimas versiones:
Detalle
- MySCADA myPRO no neutraliza correctamente las solicitudes POST enviadas a un puerto específico con información de correo electrónico. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20061 para esta vulnerabilidad.
- MySCADA myPRO no neutraliza correctamente las peticiones POST enviadas a un puerto específico con información sobre la versión. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20014 para esta vulnerabilidad.
Listado de referencias
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-023-01
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-de-myscada-0?sstc=u82518nl544634