Vulnerabilidad en Aquatronica Controller System (CVE-2025-25037)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

20/06/2025

Última modificación:

23/06/2025

Descripción

Existe una vulnerabilidad de divulgación de información en las versiones de firmware de Aquatronica Controller System anteriores a la 5.1.6 y anteriores a la 2.0 de la interfaz web. El endpoint tcp.php no restringe el acceso no autenticado, lo que permite a atacantes remotos emitir solicitudes POST manipuladas y recuperar datos de configuración confidenciales, incluyendo credenciales administrativas en texto plano. La explotación de esta vulnerabilidad puede comprometer por completo el sistema, lo que permite la manipulación no autorizada de los dispositivos conectados y los parámetros del acuario.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Aquatronica Controller System (CVE-2025-25037)

Descripción

Impacto

Referencias a soluciones, herramientas e información