Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29122)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

05/03/2026

Última modificación:

11/03/2026

Descripción

El receptor de satélite International Data Casting (IDC) SFX2100 viene con la utilidad `/bin/date` instalada con el bit setuid establecido. Esta configuración otorga privilegios elevados a cualquier usuario local que pueda ejecutar el binario. Un actor local puede usar el recurso GTFObins para realizar lecturas de archivos privilegiadas como el usuario root en el sistema de archivos local. Esto permite a un actor poder leer cualquier archivo de solo lectura de root, como el archivo /etc /shadow u otros archivos que contienen configuración o secretos.

Impacto

Vector 4.0

CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

8.30

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno