Múltiples vulnerabilidades en CashDro 3
Panel de administración de CashDro 3: versión 24.01.00.26.
INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta, que afectan al panel de administración web de CashDro 3, cajón inteligente para la gestión de efectivo. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, David Montoro Aguilera, Javier Ayala Ortín y Pedro Castillo Torío.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-8076: CVSS v4.0: 9.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-1391
- CVE-2026-8077: CVSS v4.0: 8.8 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
La nueva versión de Cashdro permite un PIN alfanumérico, quedando solventada la primera vulnerabilidad.
- CVE-2026-8076: credenciales débiles en el panel de administración web de CashDro 3, versión 24.01.00.26, en la que la plataforma se basa exclusivamente en códigos PIN numéricos para la autenticación de usuarios. El sistema obliga a utilizar credenciales basadas en PIN que no pueden reforzarse ni sustituirse por contraseñas complejas. Esto podría permitir a un atacante realizar fácilmente un ataque de fuerza bruta contra un usuario y obtener acceso probando diferentes PIN sin que se bloquee la cuenta. La explotación exitosa de esta vulnerabilidad podría dar lugar a un acceso no autorizado a ajustes de configuración confidenciales, lo que comprometería la seguridad del sistema.
- CVE-2026-8077: ausencia de una aplicación adecuada de la autorización en el panel de administración web de CashDro 3, versión 24.01.00.26. El backend carece de controles de autorización, delegando la seguridad exclusivamente al frontend. Al modificar la cadena binaria del campo ‘Permissions‘ en la respuesta JSON, un atacante podría escalar privilegios y obtener acceso administrativo total. Esta vulnerabilidad permite eludir todas las restricciones y comprometer por completo la gestión del sistema.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-8076 | Crítica | No | CashDro |
| CVE-2026-8077 | Alta | No | CashDro |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.