INCIBE alerta de tres vulnerabilidades críticas en Proteus de Labcenter que permiten ejecución remota de código y fuga de información

Las vulnerabilidades afectan a la versión 9.1 SP4; INCIBE recomienda la actualización inmediata a la 9.2 SPO.

El INCIBE ha alertado este miércoles 8 de julio sobre tres vulnerabilidades de severidad alta en el software de diseño electrónico Proteus 9.1_SP4 del fabricante Labcenter, que podrían permitir a un atacante la ejecución remota de código y la divulgación de información sensible.

EN 30 SEGUNDOS

  • ¿Qué ha ocurrido? El INCIBE ha emitido una alerta sobre tres vulnerabilidades críticas en Proteus de Labcenter.
  • ¿Qué versiones están afectadas? La versión 9.1_SP4_Build_42914 y anteriores.
  • ¿Qué medida se recomienda? Actualizar de inmediato a la versión 9.2 SPO.

Detalles técnicos de las vulnerabilidades

La primera de las fallas, identificada como CVE-2026-42953, consiste en una escritura fuera de límites que permitiría a un atacante escribir datos más allá del búfer de memoria asignado, derivando en la ejecución de código arbitrario en el contexto del proceso actual.

La segunda, CVE-2026-49033, es un desbordamiento de búfer basado en pila que también puede ser explotado para ejecutar código malicioso sin necesidad de autenticación previa. Por último, CVE-2026-42958 se basa en el uso de memoria liberada, lo que puede provocar corrupción de la memoria durante el análisis de archivos especialmente diseñados, abriendo una vía adicional para la ejecución de código arbitrario.

Publicidad

Recomendación y alcance de la alerta

Todas las versiones de Proteus 9.1_SP4 con número de compilación 42914 están afectadas. Labcenter recomienda a los usuarios asegurarse de utilizar únicamente la versión más reciente, la 9.2 SPO, que corrige estas vulnerabilidades. INCIBE subraya que aplicar la actualización es la medida más eficas para mitigar el riesgo.

La alerta de INCIBE-CERT sobre las tres vulnerabilidades de severidad alta en Proteus subraya la urgencia de aplicar la actualización para evitar ejecución remota de código.

El aviso, clasificado dentro de la categoría de sistemas de control industrial (SCI), señala que hasta el momento no se ha detectado explotación activa de estas vulnerabilidades en entornos reales. No obstante, la naturaleza de las fallas —con potencial de comprometer el equipo y robar información— hace imprescindible una respuesta inmediata.

El panorama de la ciberseguridad

El último Balance de Ciberseguridad 2025 del INCIBE revela que las vulnerabilidades en sistemas de control industrial aumentaron un 24% respecto al año anterior, con más de 500 fallos gestionados por su equipo de respuesta. Este incremento refleja la creciente sofisticación de los atacantes y la expansión del Internet de las Cosas (IoT) en entornos industriales.

La publicación de estas tres vulnerabilidades en Proteus —uno de los paquetes de diseño de circuitos impresos más utilizados en ingeniería— confirma la importancia de la vigilancia constante por parte de los organismos nacionales de ciberseguridad. El INCIBE, a través de su centro INCIBE-CERT, emite alertas tempranas como esta para que los responsables de infraestructuras críticas puedan actuar antes de que se materialice un ciberataque.

Con la actualización ya disponible, el riesgo se reduce significativamente, pero la experiencia demuestra que muchos sistemas permanecen sin parchear durante meses. INCIBE continuará monitorizando la evolución de estos CVE y lanzará actualizaciones de su alerta si se detectan intentos de explotación.