Frangoteam FUXA SCADA/HMI
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
Ver resumen de CSAF La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado enumerar todas las cuentas de usuario y asignaciones de roles en una instancia de FUXA SCADA/HMI. Las siguientes versiones de Frangoteam FUXA SCADA/HMI están afectadas: FUXA SCADA/HMI <=1.3.1 (CVE-2026-13207) CVSS Vulnerabilidades de Equipos del Vendedor v3 7.5 Frangoteam Frangoteam FUXA SCADA/HMI Bypass de Autenticación por Suplantación Antecedentes Sectores de Infraestructura Crítica: Manufactura Crítica, Energía, Agua y Aguas Residuales Países/Áreas Implementados: Mundial Ubicación de la Sede de la Empresa: Suiza Vulnerabilidades Expande Todo + CVE-2026-13207 Las versiones de FUXA 1.3.1 y anteriores contienen una vulnerabilidad de bypass de autenticación a través de la normalización de rutas de segmento de punto en la API REST. El enrutador de la API no normaliza las secuencias de segmento de punto antes de aplicar el middleware de autenticación, permitiendo que las solicitudes no autenticadas accedan a puntos finales protegidos anteponiendo rutas con segmentos de punto como /api/./users, /api/./roles y /api/project/../users. Estas solicitudes evaden las comprobaciones de autenticación y devuelven datos sensibles de usuarios y roles sin credenciales. Ver Detalles de CVE Productos Afectados Frangoteam FUXA SCADA/HMI Vendedor: Frangoteam Versión del Producto: Frangoteam FUXA SCADA/HMI: <=1.3.1 Estado del Producto: conocido_afectado Remediaciones Mitigación Frangoteam recomienda a los usuarios aplicar la última versión de FUXA 1.3.2 o posterior https://github.com/frangoteam/FUXA/releases. https://github.com/frangoteam/FUXA/releases CWE Relevante: CWE-290 Bypass de Autenticación por Suplantación Métricas CVSS Versión Puntuación Base Severidad Base Vector String 3.1 7.5 ALTA CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 4.0 8.7 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N Agradecimientos Joshua Hayes de Cited Relevance LLC reportó esta vulnerabilidad a CISA Aviso Legal y Términos de Uso Este producto se proporciona sujeto a esta Notificación (https://www.cisa.gov/notification) y a esta política de Privacidad y Uso (https://www.cisa.gov/privacy-policy). Prácticas Recomendadas CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Minimizar la exposición de red para todos los dispositivos y/o sistemas de control, asegurándose de que no sean accesibles desde Internet. Ubicar redes de sistemas de control y dispositivos remotos detrás de cortafuegos e isolándolos de redes empresariales. Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También hay que reconocer que una VPN es tan segura como los dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto y evaluación de riesgos adecuados antes de implementar medidas defensivas. CISA también proporciona una sección sobre prácticas recomendadas para la seguridad de sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluyendo la mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad. CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de ICS. Se puede encontrar guía adicional de mitigación y prácticas recomendadas en la página web de ICS en cisa.gov/ics en el documento técnico, ICS-TIP-12-146-01B--Estrategias de Detección y Mitigación de Intrusión Cibernética Dirigida. Las organizaciones que observan actividad maliciosa sospechosa deben seguir procedimientos internos establecidos y reportar hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios que tomen las siguientes medidas para protegerse de ataques de ingeniería social: No hacer clic en enlaces web ni abrir archivos adjuntos en mensajes de correo electrónico no solicitados. Consultar Reconociendo y Evitando Estafas por Correo Electrónico para más información sobre cómo evitar estafas por correo electrónico. Consultar Evitando Ataques de Ingeniería Social y Phishing para más información sobre ataques de ingeniería social. No se ha reportado hasta ahora a CISA ninguna explotación pública conocida que apunte específicamente a esta vulnerabilidad. Historial de Revisiones Fecha de Lanzamiento Inicial: 2026-06-30 Resumen de la Revisión de la Fecha 2026-06-30 1 Publicación Inicial Aviso Legal y Términos de Uso
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
