Vulnerabilidad en 8180 IP Audio Alerter (CVE-2026-0792)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-121 Desbordamiendo de búfer basado en pila (Stack)

Fecha de publicación:

23/01/2026

Última modificación:

18/02/2026

Descripción

Vulnerabilidad de desbordamiento de búfer basado en pila con ejecución remota de código en Alert-Info de SIP INVITE de ALGO 8180 IP Audio Alerter. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de dispositivos ALGO 8180 IP Audio Alerter. La autenticación no es requerida para explotar esta vulnerabilidad.<br /> <br /> La falla específica existe dentro del manejo del encabezado Alert-Info de solicitudes SIP INVITE. El problema resulta de la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Fue ZDI-CAN-28301.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:algosolutions:8180_ip_audio_alerter_firmware:5.5:::::::*
cpe:2.3:h:algosolutions:8180_ip_audio_alerter:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://www.zerodayinitiative.com/advisories/ZDI-26-014/