Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Paxton Paxton10 (CVE-2025-52492)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
07/07/2025
Última modificación:
08/07/2025

Descripción

Se ha descubierto una vulnerabilidad en el firmware de Paxton Paxton10 anterior a la versión 4.6 SR6. El archivo de firmware, rootfs.tar.gz, contiene credenciales predefinidas para la API de Twilio. Un atacante remoto que obtenga una copia del firmware puede extraer estas credenciales. Esto podría permitirle obtener acceso no autorizado a la cuenta de Twilio asociada, lo que podría provocar la divulgación de información, la posible interrupción del servicio y el uso no autorizado de los servicios de Twilio.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información