Múltiples vulnerabilidades en Lynx+ Gateway de General Industrial Controls
Fecha de publicación 14/11/2025
Identificador
INCIBE-2025-0634
Importancia
5 - Crítica
Recursos Afectados
- Lynx+ Gateway: versión R08;
- Lynx+ Gateway: versión V03;
- Lynx+ Gateway: versión V05;
- Lynx+ Gateway: versión V18.
Descripción
Abhishek Pandey, de Payatu Security Consulting Pvt. Ltd., ha reportado 4 vulnerabilidades: 1 de severidad crítica y 3 de severidad alta, cuya explotación podría dar lugar a la obtención de información confidencial del dispositivo, acceso no autorizado o provocar una condición de denegación de servicio.
Solución
General Industrial Controls (GIC) no respondió a los intentos de coordinación de la CISA. Se recomienda a los usuarios de General Industrial Controls Lynx+ Gateway que se pongan en contacto con GIC para obtener más información.
Detalle
- CVE-2025-58083: vulnerabilidad crítica en el servidor web integrado de Lynx+ Gateway, lo que podría permitir a un atacante restablecer el dispositivo de forma remota.
- CVE-2025-55034: requisito de contraseña débil, lo que puede permitir a un atacante ejecutar un ataque de fuerza bruta que dé lugar a un acceso y un inicio de sesión no autorizados.
- CVE-2025-59780: ausencia de autenticación crítica en el servidor web integrado, lo que podría permitir a un atacante enviar solicitudes GET para obtener información confidencial del dispositivo.
- CVE-2025-62765: vulnerabilidad de transmisión de texto sin cifrar que podría permitir a un atacante observar el tráfico de red para obtener información confidencial, incluidas credenciales de texto sin cifrar.
CVE
Explotación
No
Listado de referencias
