Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Índice

  • Credenciales insuficientemente protegidas en Ubox de Ubia
  • Múltiples vulnerabilidades en DeviceOn/iEdge de Advantech

Credenciales insuficientemente protegidas en Ubox de Ubia

Fecha07/11/2025
Importancia4 - Alta
Recursos Afectados

Ubox, versión 1.1.124

Descripción

Milos C. ha reportado 1 vulnerabilidad de severidad alta relacionada con credenciales insuficientemente protegidas en el producto Ubox. En el caso de que fuese explotada, permitiría a un atacante obtener acceso a las imágenes de las cámaras y configuraciones del sistema.

Solución

No se ha reportado ninguna solución por el momento.

Se recomienda a los usuarios de este producto tener debidamente configurados y de forma segura las redes y sistemas de la organización, de cara a minimizar el impacto de esta vulnerabilidad.

Detalle

CVE-2025-12636: vulnerabilidad relacionada con la incorrecta protección de las credenciales de la API, lo cual podría posibilitar a un atacante acceder a los servicios del backend. Por lo tanto, el atacante podría conseguir acceso no autorizado a las cámaras disponibles y, en consecuencia, podría visualizar las transmisiones en directo o modificar la configuración.

Múltiples vulnerabilidades en DeviceOn/iEdge de Advantech

Fecha07/11/2025
Importancia4 - Alta
Recursos Afectados

DeviceOn/iEdge, versión 2.0.2 y anteriores.

Descripción

Alex Williams de Pellera Technologies ha informado de 4 vulnerabilidades, 3 de severidad alta y 1 media que, de ser explotadas, podrían provocar una condición de denegación de servicio, ejecución de código en remoto o que un atacante pueda leer ficheros arbitrarios.

Solución

El producto ya ha alcanzado el final de su vida útil y no va a recibir una actualización por parte del fabricante. Se recomienda migrar a otro producto que sí cuente con mantenimiento.

Detalle

Las vulnerabilidades de severidad alta son:

  • CVE-2025-62630: debido a una depuración inadecuada, un atacante puede subir un fichero de configuración especialmente manipulado para saltar directorios y lograr una ejecución de código en remoto con permisos a nivel del sistema.
  • CVE-2025-59171: hay una dependencia vulnerable del dispositivo que permite a un atacante, no autenticado, leer ficheros arbitrarios o evitar la autenticación.
  • CVE-2025-58423: debido a una depuración inadecuada, un atacante puede provocar una condición de denegación de servicio, saltar directorios, o leer/escribir ficheros todo ello dentro del contexto de la cuenta del sistema local.