Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Access Manager 92xx-k5 (CVE-2025-59100)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-285 Autorización incorrecta
Fecha de publicación:
26/01/2026
Última modificación:
15/04/2026

Descripción

La interfaz web ofrece una funcionalidad para exportar la base de datos SQLite interna. Después de ejecutar la exportación de la base de datos, se inicia una descarga automática y el dispositivo se reinicia. Después de reiniciar, la base de datos exportada se elimina y ya no se puede acceder a ella. Sin embargo, se observó que a veces el dispositivo no se reinicia y por lo tanto la base de datos exportada no se elimina, o el dispositivo se reinicia y la exportación no se elimina por razones desconocidas. La ruta donde se encuentra la exportación de la base de datos puede ser accedida sin autenticación previa. Esto lleva al hecho de que un atacante podría ser capaz de obtener acceso a la base de datos exportada sin autenticación previa. La base de datos incluye datos sensibles como contraseñas, PINs de tarjeta, claves de sitio Mifare cifradas y mucho más.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
5.90
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información