Escanear gratis
Análisis pendienteCVE-2026-26289

CVE-2026-26289: Exposición de Datos en PowerSYSTEM Center

Plataforma

other

Componente

subnet-solutions-powersystem-center

Corregido en

5.28.1

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-26289 afecta a PowerSYSTEM Center, permitiendo la exposición de datos sensibles a través de su API REST. Un usuario autenticado con permisos limitados puede exportar información que normalmente estaría protegida para administradores, comprometiendo la confidencialidad de los datos. Esta vulnerabilidad afecta a las versiones 5.8.0 hasta 7.0.x y se ha solucionado en la versión 5.28.1.

Impacto y Escenarios de Ataque

Esta vulnerabilidad permite a un atacante, una vez autenticado en el sistema con un usuario de nivel inferior, acceder a información sensible que normalmente estaría protegida. La exportación de datos a través de la API REST puede revelar credenciales de dispositivos, configuraciones de red y otros datos confidenciales. Un atacante podría utilizar esta información para escalar privilegios, comprometer dispositivos conectados o realizar ataques de denegación de servicio. El impacto potencial es significativo, ya que la exposición de credenciales podría permitir el acceso no autorizado a sistemas críticos.

Contexto de Explotación

La vulnerabilidad fue publicada el 12 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación, pero la API REST es a menudo un punto de entrada vulnerable. No se han reportado campañas de explotación activas a la fecha. La vulnerabilidad no se encuentra en el KEV (Known Exploited Vulnerabilities) catalogado por CISA.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetMedia

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L8.2HIGHAttack VectorAdjacentCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityLowRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Adyacente — requiere proximidad de red: misma LAN, Bluetooth o segmento inalámbrico local.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Bajo — denegación de servicio parcial o intermitente.

Software Afectado

Componentesubnet-solutions-powersystem-center
ProveedorSubnet Solutions
Versión mínima5.8.0
Versión máxima7.0.x
Corregido en5.28.1

Clasificación de Debilidad (CWE)

CWE-863

Cronología

  1. Publicada
  2. Modificada

Mitigación y Workarounds

La mitigación principal para CVE-2026-26289 es actualizar PowerSYSTEM Center a la versión 5.28.1 o posterior. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la API REST a usuarios con privilegios administrativos. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas a la API de exportación de cuentas de dispositivos también puede ayudar a mitigar el riesgo. Revise los registros del sistema en busca de actividad inusual relacionada con la exportación de datos.

Cómo corregirlotraduciendo…

Actualice PowerSYSTEM Center a la versión 5.28.1 o posterior, 6.1.1 o posterior, o 7.0.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema de autorización incorrecta en la API REST de exportación de cuentas de dispositivos, evitando la exposición de información sensible.

Preguntas frecuentes

¿Qué es CVE-2026-26289 — Exposición de Datos en PowerSYSTEM Center?

CVE-2026-26289 es una vulnerabilidad de exposición de datos en PowerSYSTEM Center que permite a usuarios autenticados con permisos limitados exportar información sensible restringida a administradores a través de la API REST, afectando versiones 5.8.0–7.0.x.

¿Am I affected by CVE-2026-26289 in PowerSYSTEM Center?

Si está utilizando PowerSYSTEM Center en las versiones 5.8.0 hasta 7.0.x, es probable que esté afectado. Verifique su versión actual y aplique la actualización a 5.28.1 o posterior.

¿How do I fix CVE-2026-26289 in PowerSYSTEM Center?

La solución es actualizar PowerSYSTEM Center a la versión 5.28.1 o posterior. Si la actualización no es posible de inmediato, restrinja el acceso a la API REST y configure reglas WAF.

¿Is CVE-2026-26289 being actively exploited?

Hasta la fecha, no se han reportado campañas de explotación activas para CVE-2026-26289, pero la probabilidad de explotación se considera media.

¿Where can I find the official PowerSYSTEM Center advisory for CVE-2026-26289?

Consulte el sitio web oficial de PowerSYSTEM Center o su portal de soporte para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...