Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Smartwares cameras CIP-37210AT y C724IP (CVE-2024-13893)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/03/2025
Última modificación:
06/03/2025

Descripción

Smartwares cameras CIP-37210AT y C724IP, así como otras que comparten el mismo firmware en versiones hasta la 3.3.0, podrían compartir las mismas credenciales para el servicio Telnet. El hash de la contraseña se puede recuperar mediante el acceso físico a la memoria conectada a SPI. Para que se habilite el servicio Telnet, la tarjeta SD insertada debe tener una carpeta con un nombre específico creado. Se probaron dos productos, pero como el proveedor no ha respondido a los informes, el estado de la aplicación de parches sigue siendo desconocido, así como los grupos de dispositivos y rangos de firmware en los que se comparte la misma contraseña. Las versiones de firmware más nuevas también podrían ser vulnerables.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:4.0/AV:L/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
7.50
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información