Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en BioStar de Suprema

Fecha de publicación 29/05/2026
Identificador
INCIBE-2026-389
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de BioStar 2 (Server) están afectadas:

  • desde la versión v2.9.3 hasta la v2.9.11 (CVE-2026-9508);
  • versiones v2.9.11, v2.9.10 y v2.9.8 (CVE-2026-9509).
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad crítica, 1 de severidad alta, que afectan a BioStar de Suprema, una plataforma de software y hardware de seguridad integral. Las vulnerabilidades han sido descubiertas por Jordi Garcia Ribera.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-9508: CVSS v4.0: 9.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L | CWE-732
  • CVE-2026-9509 CVSS v4.0: 8.2 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/S:C/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H | CWE-248
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Suprema. Se recomienda actualizar a la última versión disponible.

Detalle
  • CVE-2026-9508: asignación incorrecta de permisos en un recurso crítico de Suprema BioStar 2 (versiones de la 2.9.3 a la 2.9.11) que permite la exposición pública de las copias de seguridad cuando el administrador configura su ruta dentro del webroot de NGINX. Esta vulnerabilidad facilita que un atacante con acceso a la red descargue directamente los archivos ZIP de respaldo a través de 'http(s)://[servidor]/download/…' sin necesidad de autenticación. Esto expone información altamente sensible que puede derivar en la suplantación del servidor, el acceso no autorizado a bases de datos y el movimiento lateral.
  • CVE-2026-9509: excepción no controlada en Suprema BioStar 2 (Server), versiones 2.9.8, 2.9.10 y 2.9.11, que permite a un atacante remoto no autenticado provocar una denegación de servicio (DoS) mediante el envío de peticiones HTTP POST al endpoint '/api/migration'. Esta solicitud desencadena un fallo que detiene procesos críticos, dejando el sistema fuera de línea hasta el reinicio manual de los servicios o del servidor. Como consecuencia, se interrumpe la operatividad de los lectores de control de acceso y se generan posibles fallos en integraciones de terceros. Dado que la explotación no requiere privilegios ni interacción del usuario y es trivial de automatizar, el impacto sobre la disponibilidad es alto y la afectación se extiende a los sistemas interconectados.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-9508 Crítica No Suprema
CVE-2026-9509 Alta No Suprema
Listado de referencias
BioStar 2
Etiquetas