Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en CashDro 3

Fecha de publicación 07/05/2026
Identificador
INCIBE-2026-331
Importancia
5 - Crítica
Recursos Afectados

Panel de administración de CashDro 3: versión 24.01.00.26.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta, que afectan al panel de administración web de CashDro 3, cajón inteligente para la gestión de efectivo. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, David Montoro Aguilera, Javier Ayala Ortín y Pedro Castillo Torío.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-8076: CVSS v4.0: 9.1 | CVSS  AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-1391
  • CVE-2026-8077: CVSS v4.0: 8.8 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución

La nueva versión de Cashdro permite un PIN alfanumérico, quedando solventada la primera vulnerabilidad.

Detalle
  • CVE-2026-8076: credenciales débiles en el panel de administración web de CashDro 3, versión 24.01.00.26, en la que la plataforma se basa exclusivamente en códigos PIN numéricos para la autenticación de usuarios. El sistema obliga a utilizar credenciales basadas en PIN que no pueden reforzarse ni sustituirse por contraseñas complejas. Esto podría permitir a un atacante realizar fácilmente un ataque de fuerza bruta contra un usuario y obtener acceso probando diferentes PIN sin que se bloquee la cuenta. La explotación exitosa de esta vulnerabilidad podría dar lugar a un acceso no autorizado a ajustes de configuración confidenciales, lo que comprometería la seguridad del sistema.
  • CVE-2026-8077: ausencia de una aplicación adecuada de la autorización en el panel de administración web de CashDro 3, versión 24.01.00.26. El backend carece de controles de autorización, delegando la seguridad exclusivamente al frontend. Al modificar la cadena binaria del campo 'Permissions' en la respuesta JSON, un atacante podría escalar privilegios y obtener acceso administrativo total. Esta vulnerabilidad permite eludir todas las restricciones y comprometer por completo la gestión del sistema.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-8076 Crítica No CashDro
CVE-2026-8077 Alta No CashDro
Listado de referencias
CashDro - Gestión de efectivo
Etiquetas