Resumen ejecutivo
ABB ha publicado 2 vulnerabilidades: una de crítica y otra de severidad alta, cuya explotación podría permitir a un atacante tomar el control remoto del producto y cambiar su configuración o acceder a directorios restringidos.
Recursos afectados
- ALS-mini-s4 IP y ALS-mini-s8 IP: todas las versiones de firmware están afectadas.
- CoreSense™ HM: versiones iguales o anteriores a la 2.3.1.
- CoreSense™ M10: versiones iguales o anteriores a la 1.4.1.12.
Análisis técnico
- CVE-2025-9574: vulnerabilidad de severidad crítica en el servidor web integrado de los controladores IP ALS-mini-S4/S8. El sistema carece de mecanismos de autenticación, lo que permite a un atacante acceder y modificar los parámetros de configuración del dispositivo sin necesidad de credenciales.
- CVE-2025-3465: vulnerabilidad de recorrido de rutas (Path Traversal), podría permitir a usuarios, no autenticados, acceder a directorios y archivos restringidos. La explotación de esta vulnerabilidad puede comprometer completamente el sistema y exponer información sensible.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-9574 | Crítica | No | ABB |
| CVE-2025-3465 | Alta | No | ABB |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Mitigación / Solución
Para los dispositivos ALS-mini-s4 IP y ALS-mini-s8 IP, ABB recomienda a los clientes que configuren correctamente el dispositivo en la red consultando la sección 'Mitigation factors' del aviso de las referencias o que apliquen soluciones alternativas para eliminar por completo el vector de ataque.
En cuanto al resto de dispositivos, las vulnerabilidades que les afectan están resueltas en las siguientes versiones:
- CoreSense™ HM: versión 2.3.4.
- CoreSense™ M10: versión 1.4.1.31.