Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Inyección SQL en el firmware de Ciser System SL

In Noticias y Avisos CiberseguridadPosted

Inyección SQL en el firmware de Ciser System SL

Aviso
Recursos Afectados

CSIP firmware en las versiones de la 3.0 hasta la 5.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta al firmware de Ciser System SL, empresa dedicada al sector de las telecomunicaciones. La vulnerabilidad ha sido descubierta por Ciser System SL.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-2584: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:N/SA:N | CWE-89
Identificador
INCIBE-2026-157

Solución
1. Medidas inmediatas (soluciones provisionales)
  • Si no es posible actualizar inmediatamente el firmware, se deben implementar controles a nivel de red para reducir la superficie de ataque:
    • Restricción de acceso: Limite el acceso al panel de administración o de inicio de sesión mediante una lista de permitidos. Se deben bloquear estrictamente todos los intentos de conexión desde redes no confiables o desde la Internet pública.
    • Segmentación de la red: Aísle la interfaz de gestión dentro de una VLAN de gestión dedicada, accesible solo a través de una VPN corporativa segura.
2. Solución permanente (remediación)
  • El proveedor ha solucionado la vulnerabilidad mediante una lógica de validación de entradas mejorada y consultas parametrizadas.
  • Se recomienda actualizar a la versión 5.3 o superior del firmware. Esta versión mitiga el riesgo al garantizar que las consultas SQL se gestionen de forma segura, neutralizando eficazmente el vector de inyección.
Detalle
  • CVE-2026-2584: se ha identificado una vulnerabilidad crítica de inyección SQL (SQLi) en el módulo de autenticación del sistema. Un atacante remoto no autenticado (AV:N/PR:N) puede aprovechar esta falla enviando consultas SQL especialmente diseñadas a través de la interfaz de inicio de sesión. Debido a la baja complejidad del ataque (AC:L) y a la ausencia de requisitos específicos (AT:N), la vulnerabilidad permite comprometer totalmente los datos de configuración del sistema (VC:H/VI:H). Aunque la disponibilidad del servicio no se ve afectada (VA:N), la brecha puede dar lugar a una exposición limitada de información confidencial relativa a sistemas posteriores o interconectados (SC:L).
5 – Crítica
Listado de referencias
Ciser System – Expertos en Intercomunicación, Telefonía y Asistencia

CVE
Identificador CVE Severidad Explotación Fabricante

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.