Emerson Valvelink Products | CISA

Summarize this content to 600 words
Ver CSAF
1. Resumen ejecutivo

CVSS V4 9.3
ATENCIÓN: Explotable remotamente/complejidad de ataque bajo
Proveedor: Emerson
Equipo: Productos de Valvelink
Vulnerabilidades: Almacenamiento de ClearText de información confidencial en la memoria, falla del mecanismo de protección, elemento de ruta de búsqueda no controlado, validación de entrada inadecuada

2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante con acceso al sistema lea la información confidencial almacenada en ClearText, Tamper con parámetros y ejecute código no autorizado.
3. Detalles técnicos
3.1 Productos afectados
Los siguientes productos Valvelink se ven afectados:

Valvelink Solo: todas las versiones antes de Valvelink 14.0
Valvelink DTM: todas las versiones antes de Valvelink 14.0
Valvelink PRM: Todas las versiones anteriores a Valvelink 14.0
Valvelink Snap-On: todas las versiones antes de Valvelink 14.0

3.2 Descripción general de vulnerabilidad
3.2.1 Almacenamiento de ClearText de información confidencial en la memoria CWE-316
El producto almacena información confidencial en ClearText en la memoria. La memoria sensible puede guardar en el disco, almacenarse en un volcado de núcleo o permanecer sin estar claro si el producto se bloquea, o si el programador no borra correctamente la memoria antes de liberarla.
CVE-2025-52579 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 9.4; La cadena de vector CVSS es (AV: N/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: L).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-52579. Se ha calculado una puntuación base de 9.3; La cadena de vector CVSS es (Por: N/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: L/SC: N/SI: N/SA: N).
3.2.2 Almacenamiento de ClearText de información confidencial en la memoria CWE-316
El producto almacena información confidencial en ClearText dentro de un recurso que podría ser accesible para otra esfera de control.
CVE-2025-50109 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 7.7; La cadena de vector CVSS es (AV: L/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: N).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-50109. Se ha calculado una puntuación base de 8.5; La cadena de vector CVSS es (Por: L/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: N/SC: N/SI: N/SA: N).
3.2.3 Falla del mecanismo de protección CWE-693
El producto no utiliza ni utiliza incorrectamente un mecanismo de protección que proporcione una defensa suficiente contra los ataques dirigidos contra el producto.
CVE-2025-46358 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 7.7; La cadena de vector CVSS es (AV: L/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: N).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-46358. Se ha calculado una puntuación base de 8.5; La cadena de vector CVSS es (Por: L/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: N/SC: N/SI: N/SA: N).
3.2.4 Elemento de ruta de búsqueda no controlado CWE-427
El producto utiliza una ruta de búsqueda fija o controlada para encontrar recursos, pero una o más ubicaciones en esa ruta pueden estar bajo el control de los actores no deseados.
CVE-2025-48496 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 5.1; La cadena de vector CVSS es (AV: L/AC: H/PR: N/UI: N/S: U/C: N/I: N/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-48496. Se ha calculado una puntuación base de 5.9; La cadena de vector CVSS es (Por: L/AC: H/AT: N/PR: N/UI: N/VC: N/VI: N/VA: H/SC: N/SI: N/SA: N).
3.2.5 Validación de entrada incorrecta CWE-20
El producto recibe entrada o datos, pero no valida ni valida incorrectamente que la entrada tiene las propiedades que se requieren para procesar los datos de manera segura y correcta.
CVE-2025-53471 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS V3 de 5.1; La cadena de vector CVSS es (AV: L/AC: H/PR: N/UI: N/S: U/C: N/I: H/A: N).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53471. Se ha calculado una puntuación base de 5.9; La cadena de vector CVSS es (Por: L/AC: H/AT: N/PR: N/UI: N/VC: N/VI: H/VA: N/SC: N/SI: N/SA: N).
3.3 Antecedentes

Sectores de infraestructura crítica: Fabricación crítica
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Estados Unidos

3.4 investigador
Emerson informó estas vulnerabilidades a CISA.
4. Mitigaciones
Emerson recomienda que los usuarios actualicen su software Valvelink para Valvelink 14.0 o posterior. La actualización se puede descargar desde el Emerson sitio web.
Para más información, consulte el asociado Notificación de seguridad de Emerson.
CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como:

Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurando que sean No es accesible desde Internet.
Localice las redes de sistemas de control y los dispositivos remotos detrás de los firewalls y aislarlos de las redes comerciales.
Cuando se requiere acceso remoto, use métodos más seguros, como las redes privadas virtuales (VPN), reconocer las VPN puede tener vulnerabilidades y debe actualizarse a la versión más actualizada disponible. También reconocer que VPN es tan segura como los dispositivos conectados.

CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.
5. Historial de actualización

8 de julio de 2025: publicación inicial

Enlace de la fuente, haz clic para tener más información