Vulnerabilidad en JuiceBox 40 (CVE-2026-0778)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

23/01/2026

Última modificación:

26/01/2026

Descripción

Vulnerabilidad de ejecución remota de código por falta de autenticación en el servicio Telnet de Enel X JuiceBox 40. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de estaciones de carga Enel X JuiceBox 40. La autenticación no es requerida para explotar esta vulnerabilidad.<br /> <br /> La falla específica existe dentro del servicio Telnet, que escucha en el puerto TCP 2000 por defecto. El problema resulta de la falta de autenticación antes de permitir conexiones remotas. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio. Fue ZDI-CAN-23285.

Impacto

Vector 3.x

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-26-041/