[Actualización 02/03/2026] Ausencia de autenticación en productos de CCTV de Honeywell
Fecha de publicación 18/02/2026
Identificador
INCIBE-2026-120
Importancia
5 - Crítica
Recursos Afectados
Productos CCTV:
- I-HIB2PI-UL 2MP IP 6.1.22.1216;
- PyME NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0;
- PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0;
- 25M IPC WDR_2MP_32M_PTZ_v2.0.
[Actualización 02/03/2026] Los modelos HDZ322DI y HC20WZ2R25 no son vulnerables a CVE-2026-1670.
Descripción
Souvik Kandar ha informado sobre 1 vulnerabilidad de severidad crítica que podría llevar a una apropiación de cuentas y acceso no autorizado a las transmisiones de la cámara; un atacante no autenticado puede cambiar la dirección de correo electrónico de recuperación, lo que podría llevar a un mayor compromiso de la red.
Solución
Honeywell recomienda a los usuarios que se pongan en contacto con Honeywell para obtener información sobre el parche.
Detalle
CVE-2026-1670: el producto afectado es vulnerable a una exposición del endpoint de la API no autenticada, lo que puede permitir que un atacante cambie de forma remota la dirección de correo electrónico de recuperación de "contraseña olvidada".
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-1670 | Crítica | No | Honeywell |
Listado de referencias
