Múltiples vulnerabilidades en servicios y aplicaciones móviles de Fermax
- Aplicación iOS DuoxMe, versiones anteriores a la 3.3.1.
- Servicio de Autenticación en productos MeetMe, versiones anteriores a la 2024-09
- Servicio de desvío llamadas en productos MeetMe, versiones anteriores a la 2024-09.
INCIBE ha coordinado la publicación de 4 vulnerabilidades, una de severidad alta y 3 de severidad media, que afectan a DuoxMe y MeetMe de Fermax, en servicios y aplicaciones móviles de videoporteros. Las vulnerabilidades han sido descubiertas por el equipo de ciberseguridad de Fermax.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-2908: CVSS v4.0: 8.5 | CVSS AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N. | CWE-522.
- CVE-2025-2909: CVSS v4.0: 6.9 | CVSS AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N. | CWE-312.
- CVE-2025-2910: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N. | CWE-204.
- CVE-2025-2911: CVSS v4.0: 5.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N. | CWE-307.
Las vulnerabilidades han sido solucionadas por el equipo de Fermax en la versión 3.3.1 de la aplicación de iOS DuoxMe y en la versión 2024-09 para los servicios de autenticación y desvío de llamadas en los productos MeetMe.
- CVE-2025-2908: la exposición de credenciales en el módulo de configuración del servicio de desvío llamadas en los productos MeetMe en versiones anteriores a la 2024-09 permite a un atacante acceder a algunos activos importantes a través de archivos de configuración.
- CVE-2025-2909: la falta de cifrado en el binario de la aplicación DuoxMe (antes Blue) en versiones anteriores a la 3.3.1 para dispositivos iOS permite a un atacante obtener acceso no autorizado al código de la aplicación y descubrir información sensible.
- CVE-2025-2910: la enumeración de usuarios en el módulo de restablecimiento de las contraseñas en el servicio de autenticación de MeetMe en versiones anteriores a la 2024-09 permite a un atacante determinar si una dirección de correo electrónico está registrada a través de mensajes de error específicos.
- CVE-2025-2911: el acceso no autorizado en el sistema de servicio de desvío llamadas en los productos MeetMe en versiones anteriores a la 2024-09 permite a un atacante identificar múltiples usuarios y realizar ataques de fuerza bruta a través de las extensiones.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.