Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en CHOCO TEI WATCHER mini

Fecha de publicación 26/03/2025
Identificador
INCIBE-2025-0157
Importancia
5 - Crítica
Recursos Afectados

CHOCO TEI WATCHER mini (IB-MCT001), todas la versiones.

Descripción

Andrea Palanca, de Nozomi Networks, ha reportado 4 vulnerabilidades: 2 de severidad crítica, una alta y una media, cuya explotación podría permitir a un atacante obtener la contraseña de inicio de sesión del producto, obtener acceso no autorizado, manipular los datos del producto y/o modificar la configuración del producto.

Solución

Inaba Denki Sangyo Co., Ltd. recomienda a los usuarios seguir las siguientes soluciones para ayudar a mitigar el impacto de estas vulnerabilidades:

  • Utilizar el producto dentro de la LAN y bloquear el acceso desde redes y hosts no fiables mediante cortafuegos.
  • Utilizar un cortafuegos o una red privada virtual (VPN), etc. para impedir el acceso no autorizado cuando se requiera acceso a Internet, y restringir el acceso a Internet al mínimo.
  • Restringir el funcionamiento del producto (incluido el uso/manipulación de tarjetas microSD en el producto) únicamente a usuarios autorizados.
Detalle
  • El producto afectado es vulnerable debido a un requisito de contraseña débil, que puede permitir a un atacante ejecutar un ataque de fuerza bruta que derive en un acceso e inicio de sesión no autorizados. Se ha asignado el identificador CVE-2025-25211 para esta vulnerabilidad de severidad crítica.
  • Si un atacante remoto envía una petición HTTP especialmente diseñada al producto, los datos del producto pueden ser obtenidos o borrados, y/o la configuración del producto puede ser alterada. Se ha asignado el identificador CVE-2025-26689 para esta vulnerabilidad de severidad crítica.
  • El producto afectado contiene una vulnerabilidad de uso de autenticación del lado del cliente, que puede permitir a un atacante obtener la contraseña de inicio de sesión del producto sin autenticación. Se ha asignado el identificador CVE-2025-24517 para esta vulnerabilidad de severidad alta.

Se ha asignado el identificador CVE-2025-24852 para la vulnerabilidad de severidad media.

Listado de referencias
ICSA-25-084-04 - Inaba Denki Sangyo CHOCO TEI WATCHER Mini
JVNVU#91154745 - Multiple vulnerabilities in CHOCO TEI WATCHER mini
Etiquetas