Redazione RHC : 11 septiembre 2025 14:32
Sophos ha anunciado la corrección de una vulnerabilidad crítica de omisión de autenticación que afectaba a sus puntos de acceso inalámbricos de la serie AP6. La falla permitía a un atacante remoto obtener privilegios administrativos al acceder a la dirección IP de administración del dispositivo. El descubrimiento se realizó durante las pruebas de seguridad internas realizadas por la empresa.
El problema afecta a versiones de firmware anteriores a la 1.7.2563 (MR7). En estas versiones, la vulnerabilidad exponía los puntos de acceso al riesgo de un ataque completo, lo que permitía a un atacante controlar la configuración y la funcionalidad.
Sophos ha calificado la gravedad de la vulnerabilidad como crítica, con una puntuación CVSS de 9,8. La descripción técnica la atribuye a una falla clasificada como CWE-620, que indica: «Al establecer una nueva contraseña para un usuario, el producto no requiere el conocimiento de la contraseña original ni el uso de ninguna otra forma de autenticación.»
Los clientes que utilizan la política de actualizaciones predeterminada no necesitan realizar ninguna acción, ya que los parches se instalan automáticamente. Esto garantiza protección inmediata contra la falla sin intervención manual de los administradores de red.
La situación es diferente para quienes han optado por desactivar las actualizaciones automáticas: en este caso, es esencial instalar manualmente la versión de firmware 1.7.2563 (MR7), publicada después del 11 de agosto de 2025, para recibir la corrección y las protecciones más recientes.
Sophos recomienda a todos los usuarios que utilizan firmware antiguo que actualicen la versión lo antes posible. La compañía enfatiza que solo la última versión de los puntos de acceso de la serie AP6 está completamente protegida contra esta vulnerabilidad.
Puede encontrar más información técnica y detalles oficiales en las referencias publicadas por Sophos, incluyendo CVE-2025-10159 y el anuncio de la comunidad sobre actualizaciones de productos inalámbricos.
RedazioneA partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...
Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...
El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...
