Múltiples vulnerabilidades en la plataforma IoT de Naxclow
Fecha de publicación 12/06/2026
Identificador
INCIBE-2026-416
Importancia
5 - Crítica
Recursos Afectados
Las todas las versiones de los siguientes modelos de la plataforma IoT de Naxclow se ven afectadas:
- Timbre inteligente X3;
- X Smart Home;
- Versión V720;
- ix cam.
Descripción
Temuri Takalandze ha publicado 7 vulnerabilidades: 2 de severidad crítica, 2 de severidad alta y 3 de severidad media que en caso de ser explotadas podrían permitir a un atacante suplantar la identidad de dispositivos, interceptar o manipular comunicaciones, obtener credenciales confidenciales a gran escala u obtener acceso no autorizado.
Solución
No existe solución para estas vulnerabilidades. Los usuarios deben ponerse en contacto con Naxclow para obtener más información.
Detalle
- CVE-2026-50101: ausencia de expiración periódica de contraseñas. Los dispositivos Naxclow utilizan una credencial de retransmisión por dispositivo, almacenada en el servidor, que nunca cambia y se vuelve a emitir al dispositivo en cada arranque. Dado que esta credencial permanece válida indefinidamente y no puede ser restablecida ni revocada por el propietario legítimo, cualquier persona que la obtenga a través de cualquier vía de acceso puede mantener un acceso persistente al canal de retransmisión del dispositivo. Esto permite la suplantación de identidad o la interceptación a largo plazo, incluso después de restablecer la configuración de fábrica o volver a configurar el dispositivo.
- CVE-2026-28742: uso de clave criptográfica codificada. Los dispositivos Naxclow utilizan un esquema uniforme de firma de solicitudes basado en un valor aleatorio (salt) codificado en toda la plataforma e integrado en cada imagen de firmware. Una vez recuperado este valor de cualquier dispositivo, un atacante puede generar firmas válidas para operaciones arbitrarias de dispositivos o cuentas debido a la ausencia de claves por dispositivo, seguimiento de nonce en el servidor o protecciones contra ataques de repetición. Sumado al uso de HTTP simple para el tráfico del plano de control, esta configuración permite la falsificación de solicitudes y la suplantación de identidad a gran escala en toda la plataforma.
- CVE-2026-42947: omisión de autorización mediante clave controlada por el usuario. Vulnerabilidad en el proceso de incorporación de la plataforma Naxclow permite a un atacante repetir una secuencia de confirmación y vinculación para reasignar silenciosamente un dispositivo a una cuenta arbitraria. Dado que los puntos finales afectados validan las firmas de las solicitudes, pero no confirman la propiedad legítima, un atacante con cualquier cuenta puede tomar el control de un dispositivo sin interacción del usuario, mientras que el dispositivo permanece en línea y sin que el usuario se dé cuenta.
- CVE-2026-50108: ausencia de autorización. La API de la plataforma Naxclow, que devuelve los detalles de registro del relé del dispositivo, expone una credencial persistente sin verificar que el solicitante sea el dispositivo o propietario legítimo. Un atacante capaz de presentar una firma de solicitud válida para la plataforma puede obtener credenciales de dispositivos arbitrarios y registrarse en el relé como si fuera dicho dispositivo, lo que permite interceptar e interrumpir sus comunicaciones.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-50101 | Crítica | No | Naxclow |
| CVE-2026-28742 | Crítica | No | Naxclow |
| CVE-2026-42947 | Alta | No | Naxclow |
| CVE-2026-50108 | Alta | No | Naxclow |
Listado de referencias
