Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Helmholz

Fecha de publicación 25/06/2025
Identificador
INCIBE-2025-0335
Importancia
4 - Alta
Recursos Afectados

Versiones anteriores a la 2.18.0 (CVE-2025-3090 y CVE-2025-3092) y 2.16.5 (CVE-2025-3091) para:

  • myREX24;
  • myREX24.virtual.
Descripción

CERT@VDE ha coordinado con Helmholz 3 vulnerabilidades de severidad alta que podrían provocar la divulgación de información de nombres de usuario y dispositivo, ataques de denegación de servicio (DoS), enumeración de usuarios y omisión de contraseñas.

Solución

Actualizar a las últimas versiones: 2.16.5 y 2.18.0.

Detalle

Las vulnerabilidades se describen de la siguiente forma:

  • Un atacante remoto, no autenticado, puede obtener información confidencial limitada y/o atacar el dispositivo debido a la falta de autenticación para una función crítica. Se ha asignado el identificador CVE-2025-3090 para esta vulnerabilidad.
  • Un atacante en posesión del segundo factor de un usuario puede iniciar sesión como ese usuario sin conocer la contraseña (primer factor). Se ha asignado el identificador CVE-2025-3091 para esta vulnerabilidad.
  • Un punto final no protegido puede usarse para enumerar nombres de usuario válidos. Se ha asignado el identificador CVE-2025-3092 para esta vulnerabilidad.
Listado de referencias
Helmholz: Vulnerabilities in myREX24/myREX24.virtual
Helmholz: Vulnerabilities in myREX24/myREX24.virtual
Etiquetas