Múltiples vulnerabilidades en Mission Control / Internal Logic Control de Brightpick AI
Fecha de publicación 14/11/2025
Identificador
INCIBE-2025-0666
Importancia
4 - Alta
Recursos Afectados
Brightpick Mission Control / Internal Logic Control: todas las versiones.
Descripción
Souvik Kandar ha informado sobre 3 vulnerabilidades de severidad alta que en caso de ser explotadas podrían exponer información confidencial y manipular funciones críticas.
Solución
Brightpick AI no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se recomienda a los usuarios de los productos afectados que se pongan en contacto con Brightpick AI para obtener más información.
Detalle
- CVE-2025-64307: la interfaz web del control lógico interno de Brightpick es accesible sin necesidad de autenticación de usuario. Un usuario no autorizado podría aprovechar esta interfaz para manipular las funciones de control del robot, incluyendo el inicio o la detención de las máquinas, la asignación de tareas, la limpieza de estaciones y el despliegue de contenedores de almacenamiento.
- CVE-2025-64308: la aplicación web Brightpick Mission Control expone credenciales codificadas en su paquete JavaScript del lado del cliente.
- CVE-2025-64309: el producto afectado revela información de telemetría, configuración y credenciales del dispositivo a través de tráfico WebSocket a usuarios no autenticados cuando se conectan a una URL específica. Esta URL no autenticada puede detectarse mediante técnicas básicas de escaneo de red.
CVE
Explotación
No
Nuevo Fabricante
Brightpick
Identificador CVE
CVE-2025-64307
Severidad
Alta
Explotación
No
Nuevo Fabricante
Brightpick
Identificador CVE
CVE-2025-64308
Severidad
Alta
Explotación
No
Nuevo Fabricante
Brightpick
Identificador CVE
CVE-2025-64309
Severidad
Alta
Listado de referencias
