Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en umatiGateway (CVE-2025-27615)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
10/03/2025
Última modificación:
10/03/2025

Descripción

umatiGateway es un software para conectar servidores de arquitectura unificada OPC con un agente MQTT utilizando mensajes JSON. La interfaz de usuario puede ser de acceso público con el archivo docker-compose proporcionado por umatiGateway. Con este acceso, la configuración puede verse y modificarse. El commit 5d81a3412bc0051754a3095d89a06d6d743f2b16 utiliza `127.0.0.1:8080:8080` para limitar el acceso a la red local. Para aquellos que no pueden usar este parche propuesto, un firewall en el puerto 8080 puede bloquear el acceso remoto, pero el workaround puede no ser perfecta porque Docker también puede eludir un firewall mediante sus reglas basadas en iptable para el reenvío de puertos.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.20
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información