cybersecurity

Firmware del controlador Daktronics

Fuente: cisa.gov 5 min de lectura

Compartir

Firmware del controlador Daktronics

Estás leyendo un resumen. El contenido completo está en cisa.gov.

Ver resumen de CSAF La explotación exitosa de estas vulnerabilidades podría proporcionar a un usuario no autenticado acceso y control total a nivel de raíz del sistema. Las siguientes versiones del firmware del controlador Daktronics están afectadas: VFC-DMP-5000 <v8.117.x.x VFC-DMP-5000 <v9.43.x.x VFC-DMP-5000 <v10.34.x.x DMP-5000 <v10.34.x.x DMP-5000 <v8.117.x.x DMP-5000 <v9.43.x.x DMP-8000 <v10.34.x.x DMP-8000 <v8.117.x.x DMP-8000 <v9.43.x.x CVSS Vulnerabilidades de equipo del vendedor v3 8.1 Daktronics Firmware del controlador Daktronics Limitación inadecuada de un nombre de ruta a un directorio restringido ('Traversal de ruta'), carga no restringida de archivos con tipos peligrosos, uso de credenciales codificadas en duro Antecedentes Sectores de infraestructura crítica: Instalaciones comerciales, tecnologías de la información, servicios de emergencia, atención médica y salud pública Países/áreas desplegados: Mundial Ubicación de la sede de la compañía: Estados Unidos Vulnerabilidades Expandir todo + CVE-2026-28701 Varias versiones del firmware del controlador Daktronics podrían permitir a usuarios remotos autenticados y no autenticados escapar del directorio previsto y enumerar rutas arbitrarias del sistema de archivos. Ver detalles de CVE Productos afectados Firmware del controlador Daktronics Vendedor: Daktronics Versión del producto: Daktronics VFC-DMP-5000: <v8.117.x.x, Daktronics VFC-DMP-5000: <v9.43.x.x, Daktronics VFC-DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v8.117.x.x, Daktronics DMP-5000: <v9.43.x.x, Daktronics DMP-8000: <v10.34.x.x, Daktronics DMP-8000: <v8.117.x.x, Daktronics DMP-8000: <v9.43.x.x Estado del producto: conocido_afectado Remediaciones Mitigación Daktronics recomienda a los usuarios que actualicen el software de su dispositivo a una de las siguientes versiones (basadas en la configuración del producto en uso): 8.117.0.x, 9.43.0.x o 10.34.0.x Mitigación Daktronics recomienda actualizar las contraseñas predeterminadas y fomenta el uso de credenciales fuertes y únicas por dispositivo. CWE relevante: CWE-22 Limitación inadecuada de un nombre de ruta a un directorio restringido ('Traversal de ruta') Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.7 ALTA CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N 4.0 9.3 CRÍTICA CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVE-2026-33560 El servicio de archivos DMP-5000 expone la funcionalidad de carga de archivos arbitrarios autenticados. Existen puntos finales expuestos que permiten a los usuarios autenticados cargar archivos de cualquier tipo sin validación. No se aplica ningún filtro de extensión de archivo ni inspección de contenido, lo que permite que se acepten y escriban binarios y scripts ejecutables directamente en el servidor. Ver detalles de CVE Productos afectados Firmware del controlador Daktronics Vendedor: Daktronics Versión del producto: Daktronics VFC-DMP-5000: <v8.117.x.x, Daktronics VFC-DMP-5000: <v9.43.x.x, Daktronics VFC-DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v8.117.x.x, Daktronics DMP-5000: <v9.43.x.x, Daktronics DMP-8000: <v10.34.x.x, Daktronics DMP-8000: <v8.117.x.x, Daktronics DMP-8000: <v9.43.x.x Estado del producto: conocido_afectado Remediaciones Mitigación Daktronics recomienda a los usuarios que actualicen el software de su dispositivo a una de las siguientes versiones (basadas en la configuración del producto en uso): 8.117.0.x, 9.43.0.x o 10.34.0.x Mitigación Daktronics recomienda actualizar las contraseñas predeterminadas y fomenta el uso de credenciales fuertes y únicas por dispositivo. CWE relevante: CWE-434 Carga no restringida de archivos con tipos peligrosos Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 7.1 ALTA CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N 4.0 8.4 ALTA CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:N/SC:L/SI:H/SA:N CVE-2026-31928 Los dispositivos DMP-5000 se envían con una cuenta web administrativa predeterminada con controles de autenticación débiles, los cuales no son obligatorios de cambiar durante la configuración inicial o el funcionamiento. Usar estas cuentas proporciona acceso total al sistema. Ver detalles de CVE Productos afectados Firmware del controlador Daktronics Vendedor: Daktronics Versión del producto: Daktronics VFC-DMP-5000: <v8.117.x.x, Daktronics VFC-DMP-5000: <v9.43.x.x, Daktronics VFC-DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v10.34.x.x, Daktronics DMP-5000: <v8.117.x.x, Daktronics DMP-5000: <v9.43.x.x, Daktronics DMP-8000: <v10.34.x.x, Daktronics DMP-8000: <v8.117.x.x, Daktronics DMP-8000: <v9.43.x.x Estado del producto: conocido_afectado Remediaciones Mitigación Daktronics recomienda a los usuarios que actualicen el software de su dispositivo a una de las siguientes versiones (basadas en la configuración del producto en uso): 8.117.0.x, 9.43.0.x o 10.34.0.x Mitigación Daktronics recomienda actualizar las contraseñas predeterminadas y fomenta el uso de credenciales fuertes y únicas por dispositivo. CWE relevante: CWE-798 Uso de credenciales codificadas en duro Métricas CVSS Versión Puntuación Base Severidad Base Cadena de Vector 3.1 8.1 ALTA CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 4.0 9.3 CRÍTICA CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N Reconocimientos Thomas Jou de la Universidad de Princeton informó sobre estas vulnerabilidades a CISA Aviso legal y términos de uso Este producto se proporciona sujeto a este Aviso (https://www.cisa.gov/notification) y esta política de privacidad y uso (https://www.cisa.gov/privacy-policy). Prácticas recomendadas CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades. Minimice la exposición de red para todos los dispositivos y/o sistemas del sistema de control, asegurándose de que no sean accesibles desde Internet. Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls y aísle los de las redes comerciales. Cuando se requiera acceso remoto, utilice métodos más seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconozca que una VPN es tan segura como los dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto y evaluación de riesgos adecuado antes de implementar medidas defensivas. CISA también proporciona una sección sobre prácticas recomendadas de seguridad para sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluyendo mejorar la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad. CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para la defensa proactiva de los activos de ICS. Orientación de mitigación adicional y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento técnico, ICS-TIP-12-146-01B--Estrategias de detección y mitigación de intrusiones cibernéticas dirigidas. Las organizaciones que observan actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos y reportar hallazgos a CISA para su seguimiento y correlación con otros incidentes. No se han reportado públicamente explotaciones conocidas que tengan como objetivo específico estas vulnerabilidades a CISA en este momento. Historial de revisiones Fecha de lanzamiento inicial: 2026-06-25 Resumen de revisión de fecha 2026-06-25 1 Publicación inicial Aviso legal y términos de uso

Artículos relacionados