Pesquisadores de segurança cibernética identificaram duas falhas críticas no mySCADA myPRO, um sistema amplamente utilizado para controle e supervisão de processos industriais. Se exploradas, essas vulnerabilidades podem permitir que invasores assumam controle total dos sistemas, resultando em interrupções operacionais graves e prejuízos financeiros para as empresas afetadas. As falhas, identificadas pela empresa suíça PRODAFT, receberam pontuação 9.3 no CVSS v4, indicando um risco elevado.

A primeira vulnerabilidade, CVE-2025-20014, permite que atacantes executem comandos arbitrários no sistema por meio de requisições POST manipuladas contendo um parâmetro de versão. Já a segunda falha, CVE-2025-20061, funciona de maneira similar, permitindo a execução remota de código ao explorar um parâmetro de e-mail nas requisições. Ambas as vulnerabilidades decorrem da falta de sanitização adequada das entradas de usuário, o que abre caminho para ataques de injeção de comandos. Caso exploradas, essas falhas podem dar a um invasor acesso irrestrito ao sistema SCADA, comprometendo a segurança operacional de setores críticos como energia, saneamento, manufatura e transportes.

A mySCADA já lançou atualizações que corrigem os problemas, e as empresas que utilizam o myPRO são fortemente recomendadas a atualizar para as versões mais recentes: mySCADA PRO Manager 1.3 e mySCADA PRO Runtime 9.2.1. Além da aplicação dos patches, especialistas aconselham segmentar redes para isolar os sistemas SCADA, reforçar os mecanismos de autenticação e implementar monitoramento constante para detectar atividades suspeitas.