Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en VizAir de Radiometrics

Fecha de publicación 05/11/2025
Identificador
INCIBE-2025-0608
Importancia
5 - Crítica
Recursos Afectados

VizAir, versiones anteriores a 08/2025

Descripción

Souvik Kandar ha informado de 3 vulnerabilidades de severidad crítica que de ser explotadas podrían permitir a los atacantes manipular parámetros meteorológicos críticos y la configuración de las pistas, engañar al control de tráfico aéreo y a los pilotos, extraer datos meteorológicos sensibles y causar una interrupción significativa de las operaciones aeroportuarias, lo que daría lugar a condiciones de vuelo peligrosas.

Solución

Radiometrics ha actualizado todos los sistemas afectados y solucionado las vulnerabilidades. No es necesario que el usuario realice ninguna acción adicional.

Detalle
  • CVE-2025-61945: el sistema Radiometrics VizAir es vulnerable a ataques remotos mediante el acceso no autorizado al panel de administración. Este acceso no autorizado podría desactivar alertas vitales, generar condiciones peligrosas para las aeronaves y manipular la asignación de pistas, lo que podría provocar colisiones en vuelo o incursiones en pista.
  • CVE-2025-54863: la clave API REST del sistema está expuesta a través de un archivo de configuración de acceso público. Esto permite a los atacantes alterar remotamente los datos y configuraciones meteorológicas, automatizar ataques contra múltiples instancias y extraer datos meteorológicos confidenciales, lo que podría comprometer las operaciones aeroportuarias. El control remoto no autorizado del monitoreo meteorológico aeronáutico y la manipulación de datos podrían resultar en una planificación de vuelo incorrecta y condiciones de despegue y aterrizaje peligrosas.
  • CVE-2025-61956: falta de mecanismos de autenticación para funciones críticas, como el acceso de administrador y las solicitudes a la API. Los atacantes pueden modificar las configuraciones sin estar autenticados, con lo que podrían manipular la configuración de las pistas activas y engañar al control de tráfico aéreo (ATC) y a los pilotos, provocando una planificación de vuelo inexacta.
CVE
Explotación
No
Nuevo Fabricante
Radiometrics
Identificador CVE
CVE-2025-61945
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Radiometrics
Identificador CVE
CVE-2025-54863
Severidad
Crítica
Explotación
No
Nuevo Fabricante
Radiometrics
Identificador CVE
CVE-2025-61956
Severidad
Crítica
Listado de referencias
ICSA-25-308-04 - Radiometrics VizAir
Etiquetas