[Actualización 08/05/2026] Múltiples vulnerabilidades en CashDro 3
Panel de administración de CashDro 3: versión 24.01.00.26.
INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta, que afectan al panel de administración web de CashDro 3, cajón inteligente para la gestión de efectivo. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, David Montoro Aguilera, Javier Ayala Ortín y Pedro Castillo Torío.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-8076: CVSS v4.0: 9.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-1391
- CVE-2026-8077: CVSS v4.0: 8.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
[Actualización 08/05/2026]
Las nuevas versiones de Cashdro permiten un PIN alfanumérico, quedando solventada la primera vulnerabilidad.
En cuanto a la segunda vulnerabilidad, la corrección fue incorporada en las versiones mantenidas del producto. La versión actualmente soportada y obligatoria para actualización es la 26.01.00.16. Las versiones anteriores fueron retiradas del repositorio de distribución por motivos de seguridad.
- CVE-2026-8076: credenciales débiles en el panel de administración web de CashDro 3, versión 24.01.00.26, en la que la plataforma permite el uso de códigos PIN numéricos para la autenticación de usuarios. El sistema soporta la utilización de credenciales basadas en PIN, manteniendo compatibilidad con integraciones de software POS desplegadas desde 2012. Esto podría permitir a un atacante realizar fácilmente un ataque de fuerza bruta contra un usuario y obtener acceso probando diferentes PIN sin que se bloquee la cuenta. La explotación exitosa de esta vulnerabilidad podría dar lugar a un acceso no autorizado a ajustes de configuración confidenciales, lo que comprometería la seguridad del sistema.
- CVE-2026-8077: ausencia de una aplicación adecuada de la autorización en el panel de administración web de CashDro 3, versión 24.01.00.26. El backend carece de controles de autorización, delegando la seguridad exclusivamente al frontend. Al modificar la cadena binaria del campo 'Permissions' en la respuesta JSON, un atacante podría escalar privilegios y obtener acceso administrativo total. Esta vulnerabilidad permite eludir todas las restricciones y comprometer por completo la gestión del sistema.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-8076 | Crítica | No | CashDro |
| CVE-2026-8077 | Alta | No | CashDro |
