Dos vulnerabilidades críticas encontradas en Delta DIAView (CVE-2025-62581 y CVE-2025-62582)

Se han publicado dos vulnerabilidades críticas en el software de gestión industrial DIAView SCADA de Delta Electronics.

Delta Electronics, con sede en Taiwán, es líder mundial en soluciones de automatización industrial. Su sistema DIAView sirve como centro operativo esencial para el control en tiempo real en sectores como el químico, el manufacturero, el energético, el de instalaciones comerciales, el del transporte y el de la gestión del agua. DIAView actúa como el cerebro detrás del control de procesos, la adquisición de datos y la supervisión de equipos de algunas de las infraestructuras más críticas del mundo.

No es la primera vez que en este programa se identifican vulnerabilidades críticas, pues en agosto de 2025, un aviso crítico publicado a través de múltiples coordinadores de ciberseguridad reveló que la versión 4.2.0.0 de DIAView es susceptible a una vulnerabilidad de tipo path traversal al no limitar correctamente las rutas a directorios restringidos. Esta vulnerabilidad fue catalogada con el código CVE-2025-53417 y confirmada tanto por Trend Micro como por la CISA (Cybersecurity and Infrastructure Security Agency).

Las siguientes vulnerabilidades, publicadas el 16 de enero de 2026, afectan a la versión 4.3.1 y anteriores de DIAView:

• CVE-2025-62581, de tipo CWE-321 «Use of Hard-coded Cryptographic Key» y puntuada con un 9,8 según CVSS (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
• CVE-2025-62582, de tipo CWE-306 «Missing Authentication for Critical Function» y puntuada con un 9,8 según CVSS (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

La explotación exitosa de estas vulnerabilidades permitiría a un atacante evadir la autenticación, acceder a información sensible y comprometer sistemas industriales, pudiendo afectar a las cadenas de suministro de sectores críticos.

Recomendaciones

El aviso publicado por Delta insta a actualizar a la versión 4.4.0, publicada el día anterior, que resuelve las vulnerabilidades, y propone las siguientes recomendaciones generales:

• No hacer clic en enlaces de Internet que no sean de confianza.
• No abrir archivos adjuntos no solicitados en correos electrónicos.
• Evitar exponer los sistemas y equipos de control a Internet.
• Colocar los sistemas y dispositivos detrás de un cortafuegos y aislarlos de la red corporativa.
• Cuando sea necesario el acceso remoto, utilizar un método de acceso seguro, como una red privada virtual (VPN).

Más información:

• CVE-2025-62582 – NIST National Vulnerability Database
  https://nvd.nist.gov/vuln/detail/CVE-2025-62582
• CVE-2025-62581 – NIST National Vulnerability Database
  https://nvd.nist.gov/vuln/detail/CVE-2025-62581
• Delta Download Center
  https://downloadcenter.deltaww.com/en-US/DownloadCenter?v=1&q=DIAView&sort_expr=cdate&sort_dir=DESC
• ICS Advisory – Delta Electronics DIAView – CISA.gov
  https://www.cisa.gov/news-events/ics-advisories/icsa-25-219-01
• Critical Vulnerability in Delta DIAView ICS System Poses Major Security Risks – Windows Forum
  https://windowsforum.com/threads/critical-vulnerability-in-delta-diaview-ics-system-poses-major-security-risks.376220/

Acerca de Daniel Pérez Porras

Daniel Pérez Porras Ha escrito 19 publicaciones.

Desarrollador de Software en Hispasec Sistemas

• View all posts by Daniel Pérez Porras →
• Blog