MBS-2025-0001: Se han corregido varias vulnerabilidades de seguridad en la interfaz gráfica de usuario web de UBR.
Publisher: MBS GmbHDocument category: csaf_security_advisoryInitial release date: 2025-11-28T11:00:00.000ZEngine: Secvisogram 2.5.41Current release date: 2025-11-28T11:00:00.000ZBuild Date: 2025-12-17T12:15:11.641ZCurrent version: 1.0.0Status: draftCVSSv3.1 Base Score: 8.8Severity: HighOriginal language: Language: en-USAlso referred to: #{[TODO][MUST]First alias must be VDE-ID, more aliases are optional}#${vde_id=VDE-0815-4711}$
Resumen
Se han detectado varias vulnerabilidades en el firmware UBR.
Recomendación general
Instale inmediatamente la nueva versión de firmware V6.0.1.0 para el UBR.
Impacto
// Describe overall (impact of) the vulnerabilities. //
mitigación
Instale inmediatamente la nueva versión de firmware V6.0.1.0 para el UBR.
Remediación
Instale inmediatamente la nueva versión de firmware V6.0.1.0 para el UBR.
Descripción del producto
Los routers BACnet universales de MBS sirven para conectar redes BACnet de diferentes tecnologías. Son compatibles con la revisión 22 actual de BACnet y admiten BACnet/IP, BACnet Ethernet, BACnet MS/TP y BACnet/LonTalk.
La versión del firmware de los routers BACnet universales existe en dos versiones diferentes, por ejemplo, 32 MB RAM | UBR-MICRO7 21.2.1 y 64 MB RAM | UBR-MICRO7 21.3.1.
Grupos de productos
Productos fijos.
Firmware UBR (32 MB)
Firmware UBR (64 MB)
Vulnerabilidades
Lectura arbitraria con ubr-editfile (CVE-2025-41754)
Impacto(gestión operativa y administradores de sistemas)
Un adversario que tenga una cuenta de usuario puede leer cualquier archivo del sistema. Entre otras cosas, puede:
− Lea /etc/shadow e intente recuperar la contraseña del servicio para conectarse por ssh a la máquina.
− Lea las credenciales de la interfaz web en /ubr/config/user.cfg e intente recuperar sus contraseñas.
− Lea la clave privada del servidor https (/ubr/etc/certs/httpd.pem) o del servicio BACnet/SC (/ubr/etc/certs/1_srvr-pkey.pem).
Descripción de la vulnerabilidad(todas)
El método ubr-editfile en wwwubr.cgi es un punto final API no documentado y sin usar, probablemente un vestigio de una versión antigua, que permite la lectura arbitraria de todo el sistema de archivos.
CWE: CWE-863: Autorización incorrecta
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5Firmware UBR (64 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Lectura arbitraria con ubr-logread (CVE-2025-41755)
Impacto
Un adversario que tenga una cuenta de usuario puede leer cualquier archivo del sistema. Entre otras cosas, puede:
− Lea /etc/shadow e intente recuperar la contraseña del servicio para conectarse por ssh a la máquina.
− Lea las credenciales de la interfaz web en /ubr/config/user.cfg e intente recuperar sus contraseñas.
− Lea la clave privada del servidor https (/ubr/etc/certs/httpd.pem) o del servicio BACnet/SC (/ubr/etc/certs/1_srvr-pkey.pem).
Descripción de la vulnerabilidad
El método ubr-logread en wwwubr.cgi recupera el contenido de un archivo de registro (/tmp/weblog{algún_número}). Desafortunadamente, el archivo de registro que se va a abrir se proporciona como parámetro en la solicitud y, por lo tanto, se puede cambiar a cualquier archivo que se desee recuperar.
CWE: CWE-20: Validación incorrecta de entradas
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Escritura arbitraria con ubr-editfile (CVE-2025-41756)
Impacto
El atacante tiene control total sobre el sistema de archivos. Puede:
− Sobrescribir cualquier archivo
− Reemplazar los scripts existentes por otros maliciosos que eventualmente se ejecutarán.
− Cambiar la contraseña por una propia (interfaz web y ssh).
Modifique cualquier archivo de configuración (web, BACnet, ssh, red, etc.).
− Abrir o eliminar filtros de red.
− ...
Descripción de la vulnerabilidad
El método ubr-editfile en wwwubr.cgi es un punto final API no documentado y sin usar, probablemente un vestigio de una versión antigua, que permite escribir arbitrariamente en todo el sistema de archivos.
CWE: CWE-912: Funcionalidad oculta
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Escritura arbitraria con ubr-restore (CVE-2025-41757)
Impacto
El atacante tiene control total sobre el sistema de archivos. Puede:
− Sobrescribir cualquier archivo
Reemplazar los scripts existentes por otros maliciosos que eventualmente se ejecutarán.
− Cambiar la contraseña por una propia (interfaz web y ssh).
Modifique cualquier archivo de configuración (web, BACnet, ssh, red, etc.).
− Abrir o eliminar filtros de red.
− ...
Descripción de la vulnerabilidad
Al restaurar una copia de seguridad como usuario, no compruebe qué archivos contiene el archivo de copia de seguridad. De este modo, es posible crear un archivo en cualquier lugar del sistema y sobrescribir cualquier archivo existente.
CWE: CWE-20: Validación incorrecta de entradas
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Escritura arbitraria con wwwupload.cgi (CVE-2025-41758)
Impacto
Con la vulnerabilidad de recorrido de rutas, un atacante tiene control total sobre el sistema de archivos. Puede:
− Sobrescribir cualquier archivo
Reemplazar los scripts existentes por otros maliciosos que eventualmente se ejecutarán.
− Cambiar la contraseña por una propia (interfaz web y ssh).
Modifique cualquier archivo de configuración (web, BACnet, ssh, red, etc.).
− Abrir o eliminar filtros de red.
− ...
Descripción de la vulnerabilidad
Esta API puede servir para cargar imágenes en la pestaña de detalles. Tiene un parámetro de archivo que normalmente es contact1.png o contact2.png (esto lo establece el código JavaScript de la página web y no el usuario). Si este es el caso, el archivo se carga en /uxx/http/html/config. Sin embargo, parece que en el código queda una función sin usar (probablemente de una versión antigua) y, si el nombre no es uno de los dos (cambiado manualmente en el parámetro de solicitud), el archivo se subirá a /ubr/config. Esto permite al atacante sobrescribir cualquier archivo de esta carpeta. Además, el código de wwupload parece tener alguna sanitización para el carácter «/». Pero en lugar de sanitizar correctamente la ruta y cancelar la solicitud, simplemente subirá el archivo a /uxx/httpd/html/config. Esto permite un recorrido de ruta, y entonces es posible sobrescribir cualquier archivo del dispositivo.
CWE: CWE-20: Validación incorrecta de entradas
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Uso de comodines («*» o «all») en la lista de bloqueo (CVE-2025-41759)
Impacto
Esto da lugar a una situación en la que la lista de bloqueo prevista es ineficaz, la red sigue siendo accesible, aunque desde el punto de vista del instalador todo esté bloqueado.
Descripción de la vulnerabilidad
Un administrador puede configurar la lista de bloqueados utilizando«» o «all» como número de red para bloquear todas las redes. De hecho, el uso de «»o «all» no es compatible, pero lamentablemente no genera ningún error para el administrador. Cuando se utilizan, se convierten internamente a la red 0, lo que significa que no se bloquea ninguna red.
CWE: CWE-20: Validación incorrecta de entradas
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Filtro de paso con tabla vacía (CVE-2025-41760)
Impacto
Esta configuración incorrecta podría dar lugar a accesos no autorizados, ya que el tráfico de red de todas las redes sigue pudiendo pasar, aunque desde el punto de vista del instalador todo esté bloqueado.
Descripción de la vulnerabilidad
El uso de un filtro Pass con una tabla vacía se configura normalmente partiendo de la base de que bloqueará todo el tráfico, protegiendo así el sistema. En la práctica, en este dispositivo, una lista Pass vacía no tiene ningún efecto sobre el tráfico de red, ya que no bloquea ninguna conexión.
CWE: CWE-1059: Documentación técnica insuficiente
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N5.7
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Posible escalada de privilegios (CVE-2025-41761)
Impacto
Los atacantes que tengan acceso a la cuenta de servicio (por ejemplo, mediante ssh) pueden aprovechar esto para obtener privilegios completos en la máquina.
Descripción de la vulnerabilidad
La escalada de privilegios se refiere al proceso de obtener privilegios de mayor nivel, normalmente acceso root, lo que permite a un atacante realizar acciones no autorizadas. Cuando sudo está mal configurado para permitir la ejecución de ciertos binarios, un atacante puede aprovecharlo para escalar su acceso a privilegios más altos, lo que podría comprometer todo el sistema.
De los binarios que la cuenta de servicio tiene permiso para ejecutar con sudo, dos de ellos (tcpdump e ip) permiten la escalada de privilegios.
CWE: CWE-269: Gestión inadecuada de privilegios
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Fuga secreta con wwwdnload.cgi (CVE-2025-41762)
Impacto
En la copia de seguridad hay información confidencial a la que los usuarios no deberían tener acceso:
Obtiene acceso a la lista de cuentas de la interfaz web y sus contraseñas cifradas (/ubr/config/user.cfg). A continuación, puede intentar recuperar la contraseña de esta cuenta con herramientas como hashcat15 o johnTheRipper16. Una vez recuperada la contraseña, puede elevar sus privilegios de invitado a usuario/administrador.
Obtiene acceso a la clave privada BACnet/SC (/ubr/etc/certs/1_srvr- pkey.pem) y a la clave privada HTTPS (/ubr/etc/certs/httpd.pem). A continuación, puede suplantar al dispositivo utilizando estas claves privadas.
Descripción de la vulnerabilidad
Obtener una copia de seguridad como usuario permite acceder a información confidencial, como el hash de la contraseña de la interfaz web de la cuenta de administrador y el certificado.
CWE: CWE-200: Exposición de información confidencial a un agente no autorizado
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Función sin comprobar en wwwdnload.cgi (CVE-2025-41763)
Impacto
Un adversario que obtiene un archivo de copia de seguridad puede acceder a múltiples datos sensibles. (véase 2.6)
Descripción de la vulnerabilidad
Cuando se llamaba al punto final wwwdnload.cgi, solo se comprobaba si la sesión existía en su base de datos, pero no el rol asociado a ella. Una cuenta de invitado puede descargar cualquier cosa que un usuario/administrador pueda descargar interactuando directamente con este punto final, lo que incluye copias de seguridad y solicitudes de certificados.
CWE: CWE-269: Gestión inadecuada de privilegios
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N3.5
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Función sin comprobar en wwwupdate.cgi (CVE-2025-41764)
Impacto
Un adversario que solo tenga una cuenta de invitado/usuario ahora puede enviar una actualización. Puede aprovechar esto, por ejemplo, cargando una actualización anterior con una vulnerabilidad conocida para explotarla posteriormente.
Descripción de la vulnerabilidad
Cuando se llamaba al punto final wwwupdate.cgi, solo se comprobaba si la sesión existía en su base de datos, pero no el rol asociado a ella. Una cuenta de invitado/usuario puede entonces enviar cualquier actualización.
CWE: CWE-269: Gestión inadecuada de privilegios
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Función sin comprobar en wwwupload.cgi (CVE-2025-41765)
Impacto
Un adversario puede cargar todos los archivos que un usuario/administrador puede cargar. Por casualidad, muchos de estos archivos cargados necesitan una llamada a wwwubr.cgi para surtir efecto y solo se almacenan en /tmp. Sin embargo, un atacante aún puede desfigurar la interfaz web cargando una foto de contacto falsa. También puede aprovechar otras vulnerabilidades conocidas en wwwupload.cgi (4.1.17), teniendo acceso solo a una cuenta de invitado en lugar de a una de usuario.
Descripción de la vulnerabilidad
Cuando se llamaba al punto final wwwupload.cgi, solo se comprobaba si la sesión existía en su base de datos, pero no el rol asociado a ella. Una cuenta de invitado puede entonces cargar cualquier cosa que un usuario/administrador pueda cargar interactuando directamente con este punto final, lo que incluye: una imagen de contacto, un certificado para https, una copia de seguridad para restaurar, un par de servidor, un certificado de servidor BACnet/SC, una clave de servidor BACnet/SC.
CWE: CWE-269: Gestión inadecuada de privilegios
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N3.5Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N3.5
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para obtener más detalles, consulte las notas de la versión en nuestro sitio web.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Desbordamiento del búfer de pila al analizar una solicitud web (CVE-2025-41766)
Impacto
Al enviar una solicitud HTTP POST especialmente diseñada, un atacante puede sobrescribir un búfer de pila, secuestrar el flujo de ejecución y ejecutar su propio código.
El atacante necesita un inicio de sesión válido o un token de sesión para el usuario o el administrador.
Descripción de la vulnerabilidad
Al analizar los datos de la solicitud del «método»: «ubr-network», el código analiza la matriz JSON routingItems controlada por el usuario y, para cada elemento, crea una pequeña cadena (str, máximo 63 bytes) y, a continuación, la concatena incondicionalmente en un búfer de pila grande pero de tamaño fijo de 0x8001 bytes. Esto provoca un desbordamiento del búfer de pila, lo que permite a un atacante sobrescribir la dirección de retorno y, en última instancia, secuestrar el flujo de ejecución.
CWE: CWE-787: Escritura fuera de límites
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1Firmware UBR (64 MB)CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H7.1
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Daniel Hulliger, de Cyber Defence Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Omisión de firma en la carga de actualizaciones (CVE-2025-41767)
Impacto
Al aprovechar una vulnerabilidad que permite eludir la firma de actualización, un atacante puede comprometer por completo el dispositivo. Esto incluye ejecutar código como root y/o modificar cualquier archivo del sistema. El atacante necesita un usuario administrador en la interfaz web, ya sea robando una contraseña o un token de sesión. ¡Los tokens de sesión de este dispositivo no tienen fecha de caducidad!
¡La vulnerabilidad descrita en CVE-2025-41772 amplifica aún más el riesgo de robo de tokens de sesión!
Descripción de la vulnerabilidad
El router Universal-BACnet UBR-01 es vulnerable a una vulnerabilidad de omisión de firma de actualización. Esto permite a un administrador o atacante con credenciales de administrador o una clave de sesión de administrador robada ejecutar código utilizando una actualización del sistema no fiable y obtener acceso root persistente completo en el dispositivo. Al cargar una actualización, la solicitud http es gestionada por wwwupdate.cgi. El programa cgi toma el parámetro del nombre de archivo, realiza algunas tareas de saneamiento para evitar ataques de recorrido de rutas y verifica que las terminaciones de los nombres de archivo sean correctas, pero luego utiliza el nombre de archivo resultante sin más verificación como parámetro para ejecutar el programa gpg. Al utilizar un nombre de archivo como «-h f.upd», podemos eludir no solo los pasos necesarios para llegar a la función PAppSpawn, sino también asegurarnos de que el código de error resultante sea 0. Esto es importante, porque de lo contrario se eliminará el archivo de actualización. Esto nos permite cargar un archivo .upd sin firmar o no válido en la carpeta /updates/.
CWE: CWE-347: Verificación incorrecta de la firma criptográfica
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8Firmware UBR (64 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Daniel Hulliger y Damian Pfammatter, del Cyber Defence Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
wwwupdate.cgi Token de sesión en la URL (CVE-2025-41772)
Impacto
Colocar tokens de sesión en la URL aumenta el riesgo de que sean capturados por un atacante.
Descripción de la vulnerabilidad
La información confidencial contenida en las URL puede registrarse en diversos lugares, como el navegador del usuario, el servidor web y cualquier servidor proxy directo o inverso entre los dos puntos finales. Las URL también pueden mostrarse en pantalla, marcarse como favoritas o enviarse por correo electrónico. Pueden revelarse a terceros a través del encabezado Referer cuando se siguen enlaces externos al sitio web.
CWE: CWE-598: Uso del método de solicitud GET con cadenas de consulta confidenciales
Estado del producto
Afectados conocidos
ProductoCVSS-VectorCVSS Base ScoreFirmware UBR (32 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L6.8Firmware UBR (64 MB)CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:L/A:L6.8
Fijado
Firmware UBR (32 MB) instalado en UBR-01 Mk II
Firmware UBR (64 MB) instalado en UBR-01 Mk II
Firmware UBR (32 MB) instalado en UBR-02
Firmware UBR (64 MB) instalado en UBR-02
Firmware UBR (32 MB) instalado en UBR-LON
Firmware UBR (64 MB) instalado en UBR-LON
Remediaciones
Corrección del proveedor (2025-11-05T11:00:00.000Z)
MBS GmbH ha lanzado oficialmente una nueva versión del firmware UBR V6.0.1.0 que corrige la vulnerabilidad descrita.
Para grupos:
Productos fijos.
https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
Daniel Hulliger y Damian Pfammatter, del Cyber Defense Campus Zurich, por informar al proveedor sobre la vulnerabilidad.
Referencias
Encuentre el CVE-ID en las notas de la versión del firmware UBR V6.0.1.0. (auto) https://en.mbs-solutions.de/firmwareupdate-router
Agradecimientos
MBS GmbH agradece a las siguientes partes por sus esfuerzos:
Adrien Rey, de Cyber Defense Campus Zurich, por informar al proveedor sobre varias vulnerabilidades.
Daniel Hulliger, de Armasuisse, por informar al proveedor sobre la vulnerabilidad.
LICENCIA
csaf creator
#{[TODO][SHOULD][REMOVE]}# Link to repository: CERT@VDE CSAF Template © 2025 by CERT@VDE is licensed under CC BY-NC 4.0
Esta nota del documento solo puede eliminarse para crear un aviso CSAF basado en esta plantilla.
MBS GmbH
Espacio de nombres: https://en.mbs-solutions.de
Teléfono: +49 2151 7294-0 | Correo electrónico: info@mbs-solutions.de
MBS GmbH es responsable de corregir cualquier vulnerabilidad relacionada con los productos o servicios de MBS.
Referencias
Actualización de firmware | Router (externo) https://en.mbs-solutions.de/firmwareupdate-router
Historial de revisiones
Versión Fecha de la revisión Resumen de la revisión 1.0.0 25-11-28T11:00:00.000Z Creación inicial del documento en forma de borrador. 1.0.1 25-12-17T13:00:00.000Z Adición de vulnerabilidades.
Normas para compartir
TLP:WHITE
Para la versión TLP, véase: https://www.first.org/tlp/
Descargo de responsabilidad
MBS GmbH | Römerstraße 15 | 47809 Krefeld Directores generales: Gerhard Memmen-Krüger, Melanie Loy, Nils-Gunnar Fritz Registro mercantil de Krefeld HRB 3337 N.º de identificación fiscal: DE 120 148 529
Obligación de informar según el art. 13 del RGPD
