Múltiples vulnerabilidades en MinKNOW de Oxford Nanopore Technologies
Fecha de publicación 22/10/2025
Identificador
INCIBE-2025-0582
Importancia
4 - Alta
Recursos Afectados
- MinKNOW: versiones anteriores a la 24.06 (CVE-2024-35585).
- MinKNOW: versiones anteriores a la 24.11 (CVE-2025-54808, CVE-2025-10937).
Descripción
Sara Rampazzi, Christina Boucher, Carson Stillman y Jonathan E. Bravo, de la Universidad de Florida, han reportado 3 vulnerabilidades: 2 de severidad alta, y una de severidad media. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante interrumpir las operaciones y los procesos de secuenciación, extraer y manipular datos, y eludir los controles de autenticación.
Solución
Oxford Nanopore Technologies recomienda a los usuarios actualizar a versiones de MinKNOW posteriores a la 24.11 para eliminar estas vulnerabilidades.
Detalle
- CVE-2024-35585: se ha detectado una vulnerabilidad que permite el acceso remoto por defecto al secuenciador, utilizando únicamente la dirección IP del equipo para autenticación. Un atacante en la misma red puede descubrir esta IP, conectarse mediante una cuenta de Oxford Nanopore y, a través de la aplicación MinKNOW, visualizar, detener o redirigir los datos de secuenciación.
- CVE-2025-54808: MinKNOW, en su versión 24.11 y anteriores, cuenta con una vulnerabilidad de tipo exposición de tokens por almacenamiento inseguro (tokens guardados en /tmp), cuya explotación podría permitir a un atacante (local o remoto si el acceso remoto está habilitado) establecer conexiones no autorizadas al secuenciador y generar tokens de desarrollador con caducidad arbitraria para acceso persistente.
Se ha asignado el identificador CVE-2025-10937 para la vulnerabilidad de severidad media.
CVE
Explotación
No
Nuevo Fabricante
Oxford Nanopore Technologies
Identificador CVE
CVE-2024-35585
Severidad
Alta
Explotación
No
Nuevo Fabricante
Oxford Nanopore Technologies
Identificador CVE
CVE-2025-54808
Severidad
Alta
Listado de referencias
