Múltiples vulnerabilidades en productos de ST Engineering
Fecha de publicación 03/07/2026
Identificador
INCIBE-2026-469
Importancia
4 - Alta
Recursos Afectados
- Terminales Evolution iQ‑Series 4.5.2.1 y anteriores;
- Terminales 3315‑Series 4.5.2.1 y anteriores;
- Terminales 9‑Series 4.5.2.1 y anteriores.
Descripción
Ahmed Alqahtani, de Aramco, ha informado sobre dos vulnerabilidades de severidad alta que podrían permitir a un atacante obtener acceso no autorizado a la información del dispositivo o provocar una denegación de servicio.
Solución
ST Engineering iDirect ha corregido las vulnerabilidades y recomienda a los usuarios actualizar el software a la versión 4.5.2.2 o posterior.
Detalle
- CVE-2026-38059: el iDirect iQ200 expone los endpoint de la API REST /api/identity y /api/ sin autenticación. Un atacante no autenticado con acceso a la red puede obtener información confidencial del dispositivo, como el número de serie, el ID del dispositivo (DID), el identificador de clave privada del terminal (TPK), la dirección MAC y la versión exacta del firmware. El DID y el TPK se utilizan para la autenticación de la red satelital en la plataforma iDirect, lo que podría permitir la suplantación de identidad del terminal y el reconocimiento de la red.
- CVE-2026-38057: el iDirect iQ200 no valida los tokens CSRF en los endpoint de la API que modifican el estado tras la autenticación. El endpoint /api/reboot acepta solicitudes POST autenticadas únicamente mediante una cookie de sesión que carece del atributo SameSite. Un atacante remoto puede alojar una página web maliciosa que, al ser visitada por un administrador autenticado, envía automáticamente una solicitud POST entre sitios, lo que provoca el reinicio inmediato del dispositivo y la pérdida del enlace satelital. Los ataques repetidos pueden mantener una condición de denegación de servicio.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-38059 | Alta | No | ST Engineering |
| CVE-2026-38057 | Alta | No | ST Engineering |
Listado de referencias



