Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en USR-W610 de Jinan USR IOT Technology Limited

Fecha de publicación 20/02/2026
Identificador
INCIBE-2026-132
Importancia
5 - Crítica
Recursos Afectados

Jinan USR IOT Technology Limited (PUSR) USR-W610, versión 3.1.1.0 y anteriores.

Descripción

Abhishek Pandey y Ranit Pradhan de Payatu Security Consulting han informado de 4 vulnerabilidades, 1 de severidad crítica, 2 altas y 1 media que, en caso de ser explotadas con éxito, podrían desactivar la autenticación, provocar una condición de denegación de servicio o el robo de credenciales válidas, incluida la de administrador.

Solución

El producto ya alcanzó el final de su vida útil (EoL) y el fabricante ha informado que no tiene intención de parchearlo.

Detalle

CVE-2026-25715: la interfaz de gestión web del dispositivo permite dejar en blanco los campos de nombre de usuario y contraseña del administrador. Si esto se implementa, el dispositivo permite autenticarse con credenciales vacías en la interfaz de gestión web y el servicio Telnet. Esto deshabilita la autenticación en todos los canales críticos de gestión, permitiendo a cualquier atacante adyacente en la red obtener control completo como administrador sin credenciales.

CVE-2026-24455: la interfaz web que tiene el dispositivo no soporta HTTPS/TLS para la autenticación y, en su lugar, emplea Autenticación Básica HTTP. Esto hace que el tráfico sea codificado, pero no encriptado, lo que expone las credenciales de usuario a interceptación pasiva, a atacantes que estén en la misma red.

CVE-2026-26048: el router wifi es vulnerable a ataques de des-autenticación debido a la ausencia de Protección de Tramas de Gestión, lo que permite la transmisión de tramas de desautenticación y desasociación falsificadas sin autenticación ni cifrado. Un atacante puede utilizar esto para provocar interrupciones no autorizadas y crear una condición de denegación de servicio. 

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-26049.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-25715 Crítica No Jinan USR IOT Technology Limited (PUSR)
CVE-2026-24455 Alta No Jinan USR IOT Technology Limited (PUSR)
CVE-2026-26048 Alta No Jinan USR IOT Technology Limited (PUSR)
Listado de referencias
CISA (ICSA-26-050-03) - Jinan USR IOT Technology Limited (PUSR) USR-W610
Etiquetas