Cuatro nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en Cámaras de Brickcom
- Credenciales embebidas en productos de Mitsubishi Electric
- Múltiples vulnerabilidades en productos de B&R
- Múltiples vulnerabilidades en la plataforma IoT de Naxclow
Múltiples vulnerabilidades en Cámaras de Brickcom
Versiones 3.2.3.5.6 de los siguientes productos:
- Brickcom Cube
- Brickcom Dome
- Brickcom Bullet
- Brickcom Box
CISA ha publicado dos vulnerabilidades de severidad alta que podrían permitir que un atacante remoto, no autenticado, obtenga acceso no autorizado a transmisiones de vídeo en vivo, recupere información visual confidencial de las instalaciones afectadas y obtenga el control del dispositivo como administrador.
Se recomienda a los usuarios que se comuniquen con Brickcom para obtener asistencia.
- CVE-2026-50245: Ausencia de autenticación para función crítica. El producto afectado permite el acceso sin autenticación a imágenes instantáneas en directo a través del endpoint /ONVIF. No se requiere autenticación para recuperar imágenes fijas de la transmisión de la cámara.
- CVE-2026-50005: uso de credenciales predeterminadas. El producto afectado se envía con credenciales predeterminadas que permiten a cualquier atacante remoto no autenticado acceder de forma desapercibida a las transmisiones de las cámaras.
Credenciales embebidas en productos de Mitsubishi Electric
Múltiples modelos de equipos de aire acondicionado domésticos Mitsubishi Electric equipados con conectividad Wi-Fi:
- Serie B: Modelos MSZ-BKR y MSZ-BXV.
- Serie E: Modelos MSZ-EM y MSZ-EX.
- Serie F: Modelos MSZ-FD, MSZ-FZ y MSZ-FZV.
- Serie H / J / N: Modelos MSZ-HXV, MSZ-JXV y MSZ-NXV.
- Serie R: Modelos MSZ-R y MSZ-RK.
- Serie V / X: Modelos MSZ-VXV, MSZ-X, MSZ-XD y MSZ-XK.
- Serie Z / Y: Modelos MSZ-ZD, MSZ-ZW, MSZ-ZXV y MSZ-ZY.
- Unidades de Suelo / Consola (Prefijo MFZ):
- Serie MFZ-KT
- Serie MFZ-KW
- Unidades de Pared (Prefijo MSZ):
- Serie MSZ-AP
- Serie MSZ-AY (una de las gamas más comunes actualmente)
- Serie MSZ-BT
- Serie MSZ-DA
- Serie MSZ-EF (gama de diseño Kirigamine Zen)
- Serie MSZ-FT
- Serie MSZ-HR
- Serie MSZ-LN (gama Kirigamine Style / diseño premium)
- Serie MSZ-LZ
- Serie MSZ-RW
- Serie MSZ-RZ
Consultar el aviso del fabricante para obtener el listado completo de productos afectados.
El investigador Zachary Mitev ha reportado una vulnerabilidad en Mitsubishi Electric de severidad alta que, en caso de ser explotada podría permitir a un atacante situado dentro del alcance de la red inalámbrica acceder al dispositivo afectado sin autorización, obteniendo información sensible, modificando parámetros de condifuración o provocando una denegación de servicio.
Mitsubishi Electric irá lanzando actualizaciones progresivamente para corregir la vulnerabilidad en sus diferentes productos, recomendamos comprobar el aviso del fabricante para saber exactamente en que fecha saldrá el parche de seguridad para tu dispositivo.
Como medidas adicionales, Mitsubishi Electric recomienda configurar el equipo afectado con un router Wi-Fi siguiendo las instrucciones proporcionadas por el fabricante inmediatamente después de la instalación. Además se recomienda restringir el acceso físico y lógico a las redes inalámbricas donde se encuentren desplegados los dispositivos afectados, así como monitorizar accesos no autorizados a las mismas.
CVE-2026-5667: vulnerabilidad de uso de credenciales embebidas que afecta a múltiples equipos de aire acondicionado domésticos de Mitsubishi Electric con funcionalidad Wi-Fi. Un atacante ubicado dentro del alcance de la red inalámbrica podría aprovechar la presencia de credenciales codificadas en el dispositivo para obtener acceso no autorizado cuando este se encuentre sin configurar o haya sido restaurado a valores de fábrica. La explotación de esta vulnerabilidad podría permitir la divulgación de información sensible, la modificación de la configuración del equipo o provocar una denegación de servicio (DoS).
Múltiples vulnerabilidades en productos de B&R
- Linux for B&R, versión 12 y anteriores;
- APROL versiones anteriores a APROL-AutoYaST-DVD-V4.4-010.10.260602;
- X20EDS410, todas las versiones.
B&R ha publicado 5 vulnerabilidades de severidad alta presentes en el kernel Linux y componentes de terceros incluidos en diversos productos de la compañía. La explotación de estas vulnerabilidades podría permitir a un atacante local con privilegios bajos escalarlos en el sistema afectado hasta obtener control total del dispositivo. Adicionalmente, algunas de las vulnerabilidades podrían provocar corrupción de memoria, denegación de servicio o filtración de información sensible.
El fabricante recomienda aplicar las actualizaciones de seguridad correspondientes en cuanto estén disponibles.
Para el producto APROL ya se dispone de la versión corregida APROL-AutoYaST-DVD-V4.4-010.10.260602.
Para el resto de productos afectados, las versiones corregidas se encuentran pendientes de publicación.
Mientras tanto, se recomienda aplicar medidas de mitigación como la restricción del acceso local al sistema, la aplicación de principios de mínimo privilegio y la deshabilitación de módulos del kernel afectados cuando sea posible sin impactar la operativa del sistema.
- CVE-2026-31431: vulnerabilidad en el subsistema crypto del kernel Linux (algif_aead) debida a una gestión incorrecta de la transferencia de recursos entre espacios de memoria. Un atacante local con bajos privilegios podría explotar esta condición para elevar privilegios en el sistema afectado mediante la manipulación de estructuras de memoria del kernel.
CVE-2026-43284: vulnerabilidad de tipo escritura arbitraria en memoria en el subsistema XFRM/ESP del kernel Linux. La incorrecta gestión de búferes compartidos puede permitir a un atacante local provocar escritura en ubicaciones de memoria controladas, facilitando la ejecución de código y la escalada de privilegios.
CVE-2026-46333: vulnerabilidad de gestión incorrecta de privilegios en el subsistema ptrace del kernel Linux. Un atacante local podría aprovechar condiciones de carrera en la comprobación de permisos para acceder a información sensible de procesos y escalar privilegios.
CVE-2026-46300: vulnerabilidad de escritura fuera de límites en la gestión de estructuras skb del kernel Linux. La incorrecta propagación de marcadores de fragmentos compartidos puede permitir a un atacante local realizar escrituras arbitrarias en memoria del kernel y escalar privilegios.
CVE-2026-43494: vulnerabilidad de doble liberación de memoria en el subsistema RDS del kernel Linux. Un fallo en la gestión de contadores de referencias durante operaciones de zero-copy puede provocar corrupción de memoria y permitir la escalada de privilegios a nivel local.
Múltiples vulnerabilidades en la plataforma IoT de Naxclow
Las todas las versiones de los siguientes modelos de la plataforma IoT de Naxclow se ven afectadas:
- Timbre inteligente X3;
- X Smart Home;
- Versión V720;
- ix cam.
Temuri Takalandze ha publicado 7 vulnerabilidades: 2 de severidad crítica, 2 de severidad alta y 3 de severidad media que en caso de ser explotadas podrían permitir a un atacante suplantar la identidad de dispositivos, interceptar o manipular comunicaciones, obtener credenciales confidenciales a gran escala u obtener acceso no autorizado.
No existe solución para estas vulnerabilidades. Los usuarios deben ponerse en contacto con Naxclow para obtener más información.
- CVE-2026-50101: ausencia de expiración periódica de contraseñas. Los dispositivos Naxclow utilizan una credencial de retransmisión por dispositivo, almacenada en el servidor, que nunca cambia y se vuelve a emitir al dispositivo en cada arranque. Dado que esta credencial permanece válida indefinidamente y no puede ser restablecida ni revocada por el propietario legítimo, cualquier persona que la obtenga a través de cualquier vía de acceso puede mantener un acceso persistente al canal de retransmisión del dispositivo. Esto permite la suplantación de identidad o la interceptación a largo plazo, incluso después de restablecer la configuración de fábrica o volver a configurar el dispositivo.
- CVE-2026-28742: uso de clave criptográfica codificada. Los dispositivos Naxclow utilizan un esquema uniforme de firma de solicitudes basado en un valor aleatorio (salt) codificado en toda la plataforma e integrado en cada imagen de firmware. Una vez recuperado este valor de cualquier dispositivo, un atacante puede generar firmas válidas para operaciones arbitrarias de dispositivos o cuentas debido a la ausencia de claves por dispositivo, seguimiento de nonce en el servidor o protecciones contra ataques de repetición. Sumado al uso de HTTP simple para el tráfico del plano de control, esta configuración permite la falsificación de solicitudes y la suplantación de identidad a gran escala en toda la plataforma.
- CVE-2026-42947: omisión de autorización mediante clave controlada por el usuario. Vulnerabilidad en el proceso de incorporación de la plataforma Naxclow permite a un atacante repetir una secuencia de confirmación y vinculación para reasignar silenciosamente un dispositivo a una cuenta arbitraria. Dado que los puntos finales afectados validan las firmas de las solicitudes, pero no confirman la propiedad legítima, un atacante con cualquier cuenta puede tomar el control de un dispositivo sin interacción del usuario, mientras que el dispositivo permanece en línea y sin que el usuario se dé cuenta.
- CVE-2026-50108: ausencia de autorización. La API de la plataforma Naxclow, que devuelve los detalles de registro del relé del dispositivo, expone una credencial persistente sin verificar que el solicitante sea el dispositivo o propietario legítimo. Un atacante capaz de presentar una firma de solicitud válida para la plataforma puede obtener credenciales de dispositivos arbitrarios y registrarse en el relé como si fuera dicho dispositivo, lo que permite interceptar e interrumpir sus comunicaciones.