Los investigadores de ciberseguridad han revelado detalles de dos defectos críticos que afectan a MyScada MyPro, un sistema de control de supervisión y adquisición de datos (SCADA) utilizado en entornos de tecnología operativa (OT), que podría permitir a los actores maliciosos tomar el control de los sistemas susceptibles.
“Estas vulnerabilidades, si se explotan, podrían otorgar llegada no competente a las redes de control industrial, lo que potencialmente conduce a graves interrupciones operativas y pérdidas financieras”, dijo la compañía de seguridad suiza Profaft.
La letanía de deficiencias, ambas calificadas 9.3 en el sistema de puntuación CVSS V4, están a continuación –
- CVE-2025-20014 – Una vulnerabilidad de inyección de comandos del sistema activo que podría permitir a un atacante ejecutar comandos arbitrarios en el sistema afectado a través de solicitudes de publicación especialmente diseñadas que contienen un parámetro de traducción
- CVE-2025-20061 – Una vulnerabilidad de inyección de comandos del sistema activo que podría permitir a un atacante ejecutar comandos arbitrarios en el sistema afectado a través de solicitudes de publicación especialmente diseñadas que contienen un parámetro de correo electrónico
La explotación exitosa de cualquiera de los dos defectos podría permitir que un atacante inyecte comandos del sistema y ejecute código despótico. Los problemas se han abordado en las siguientes versiones –
- MyScada Pro Manager 1.3
- tiempo de ejecución myscada pro 9.2.1
Según ProDaft, ambas vulnerabilidades se derivan de una error en desinfectar las entradas de los usuarios, abriendo así la puerta a una inyección de comando.
“Estas vulnerabilidades destacan los riesgos de seguridad persistentes en los sistemas SCADA y la penuria de defensas más fuertes”, dijo la compañía. “La explotación podría conducir a interrupciones operativas, pérdidas financieras y riesgos de seguridad”.
Se recomienda a las organizaciones que apliquen los últimos parches, apliquen la segmentación de la red aislando los sistemas SCADA de las redes de TI, aplican una autenticación sólida y monitorean actividades sospechosas.
