Múltiples vulnerabilidades en dispositivos SinoTrack
Fecha de publicación 11/06/2025
Identificador
INCIBE-2025-0309
Importancia
4 - Alta
Recursos Afectados
SinoTrack IOT PC Platform: todas las versiones.
Descripción
Raúl Ignacio Cruz Jiménez ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante acceder a los perfiles de dispositivo sin autorización a través de la interfaz de gestión web común. El acceso al perfil del dispositivo podría permitir a un atacante realizar algunas funciones remotas en vehículos conectados, como rastrear la ubicación del vehículo y desconectar la alimentación de la bomba de combustible cuando sea compatible.
Solución
SinoTrack no respondió a la solicitud de coordinación de CISA. Para más información, contacte con SinoTrack.
Detalle
- CVE-2025-5484: Vulnerabilidad de autenticación insuficiente en dispositivos SinoTrack. Para acceder a la interfaz de gestión de dispositivos SinoTrack se necesita un nombre de usuario y una contraseña. El nombre de usuario es un identificador impreso en el propio dispositivo, y la contraseña por defecto, común a todos, no se exige cambiar durante la configuración. Un atacante puede obtener estos identificadores físicamente o a través de fotos publicadas en sitios web.
- CVE-2025-5485: Vulnerabilidad de discrepancia observable en la respuesta. Los nombres de usuario en la interfaz web de gestión son simples identificadores numéricos de hasta 10 dígitos. Un atacante puede adivinar otros usuarios probando secuencias numéricas cercanas o generando combinaciones aleatorias.
Listado de referencias