Redazione RHC : 11 septiembre 2025 14:32
Sophos ha anunciado la corrección de una vulnerabilidad crítica de omisión de autenticación que afectaba a sus puntos de acceso inalámbricos de la serie AP6. La falla permitía a un atacante remoto obtener privilegios administrativos al acceder a la dirección IP de administración del dispositivo. El descubrimiento se realizó durante las pruebas de seguridad internas realizadas por la empresa.
El problema afecta a versiones de firmware anteriores a la 1.7.2563 (MR7). En estas versiones, la vulnerabilidad exponía los puntos de acceso al riesgo de un ataque completo, lo que permitía a un atacante controlar la configuración y la funcionalidad.
Sophos ha calificado la gravedad de la vulnerabilidad como crítica, con una puntuación CVSS de 9,8. La descripción técnica la atribuye a una falla clasificada como CWE-620, que indica: «Al establecer una nueva contraseña para un usuario, el producto no requiere el conocimiento de la contraseña original ni el uso de ninguna otra forma de autenticación.»
Los clientes que utilizan la política de actualizaciones predeterminada no necesitan realizar ninguna acción, ya que los parches se instalan automáticamente. Esto garantiza protección inmediata contra la falla sin intervención manual de los administradores de red.
La situación es diferente para quienes han optado por desactivar las actualizaciones automáticas: en este caso, es esencial instalar manualmente la versión de firmware 1.7.2563 (MR7), publicada después del 11 de agosto de 2025, para recibir la corrección y las protecciones más recientes.
Sophos recomienda a todos los usuarios que utilizan firmware antiguo que actualicen la versión lo antes posible. La compañía enfatiza que solo la última versión de los puntos de acceso de la serie AP6 está completamente protegida contra esta vulnerabilidad.
Puede encontrar más información técnica y detalles oficiales en las referencias publicadas por Sophos, incluyendo CVE-2025-10159 y el anuncio de la comunidad sobre actualizaciones de productos inalámbricos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...