Introducción
Souvik Kandar ha informado sobre 1 vulnerabilidad de severidad crítica que podría llevar a una apropiación de cuentas y acceso no autorizado a las transmisiones de la cámara; un atacante no autenticado puede cambiar la dirección de correo electrónico de recuperación, lo que podría llevar a un mayor compromiso de la red..[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2026-1670– Ausencia de autenticación para una función crítica (CWE-306):
Los productos afectados son vulnerables a una exposición de endpoint de API no autenticado, lo que podría permitir a un atacante cambiar en remoto la dirección de correo electrónico de recuperación de ‘olvidé mi contraseña’.
Los siguientes productos están afectados:
- I-HIB2PI-UL 2MP IP 6.1.22.1216
- SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
- PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
- 25M IPC WDR_2MP_32M_PTZ_v2.0
Recomendaciones
Hasta la fecha no se han publicado ninguna versión que corrija esta vulnerabilidad.
Se proponen las siguientes medidas para ayudar a minimizar el riesgo:
- Minimizar la exposición a la red de todos los dispositivos y/o sistemas del sistema de control, asegurándose de que no sean accesibles desde Internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de cortafuegos y aíslelos de las redes empresariales.
- Cuando se requiera acceso remoto, utilice métodos más seguros, como las redes privadas virtuales (VPN), teniendo en cuenta que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Tenga en cuenta también que la seguridad de una VPN depende de la seguridad de los dispositivos conectados.
Referencias
[1] ICSA-26-048-04 – Honeywell CCTV Products