Múltiples vulnerabilidades en productos de Optigo Networks
Fecha de publicación 12/03/2025
Identificador
INCIBE-2025-0132
Importancia
5 - Crítica
Recursos Afectados
- Visual BACnet Capture Tool, versión 3.1.2rc11;
- Optigo Visual Networks Capture Tool, versión 3.1.2rc11.
Descripción
Tomer Goldschmidt de Claroty Team82 ha descubierto 3 vulnerabilidades: 1 de severidad crítica y 2 altas que de ser explotadas podrían permitir a un atacante evitar las restricciones de autenticación, obtener el control sobre algunas utilidades de los productos y, también, hacerse pasar por el servicio de aplicación web y engañar a los clientes.
Solución
Actualizar a las siguientes versiones:
- Visual BACnet Capture Tool, versión v3.1.3rc8;
- Optigo Visual Networks Capture Tool, versión v3.1.3rc8.
Detalle
Las vulnerabilidades son:
- CVE-2025-2080, de severidad crítica, es debida a que los productos contienen un servicio de administración web expuesto, lo que podría permitir a un atacante eludir las medidas de autenticación y obtener control sobre las utilidades de los productos.
- CVE-2025-2079, de severidad alta, es debida a que los productos tienen una clave secreta dentro de su código, lo que podría permitir a un atacante generar sesiones JWT (JSON web Token) válidas.
- CVE-2025-2081, de severidad alta, se debe a que los productos son vulnerables a que un atacante se haga pasar por el servicio de aplicación web y engañe a los clientes.
Listado de referencias
