Múltiples vulnerabilidades en productos de New Rock Technologies
Las siguientes versiones de Cloud Connected Devices están afectadas:
- OM500 IP-PBX: todas las versiones;
- MX8G VoIP Gateway: todas las versiones;
- NRP1302/P Desktop IP Phone: todas las versiones.
Tomer Goldschmidt, de Claroty Team82, ha reportado 2 vulnerabilidades: una de severidad crítica y una media, cuya explotación podría permitir a un atacante tomar el control total del dispositivo.
El fabricante New Rock Technologies no ha respondido a los intentos de contacto por parte de CISA, por lo que se recomienda a los usuarios intentar contactar directamente con el fabricante, así como aplicar las medidas de mitigación descritas en el aviso de CISA.
La vulnerabilidad crítica, durante el proceso de gestión de comandos rpc, podría permitir a atacantes remotos tomar el control de dispositivos arbitrarios conectados a la nube. Se ha asignado el identificador CVE-2025-0680 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-0681.