Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

Aalo Atomics logra un hito de criticidad avanzada del reactor

La UE envía trabajadores de emergencia y aviones a los incendios forestales en Portugal y Francia

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»CERT/CC advierte sobre puerta trasera de administrador oculta en el firmware del enrutador Tenda
Identidad

CERT/CC advierte sobre puerta trasera de administrador oculta en el firmware del enrutador Tenda

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 7, 2026No hay comentarios3 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Ravi Lakshmanan7 de julio de 2026

Se ha descubierto que varias versiones de firmware lanzadas por el fabricante chino de equipos de red Tenda contienen una puerta trasera de autenticación no documentada que permite el acceso administrativo a las interfaces de gestión web de los dispositivos, advirtió el lunes el Centro de Coordinación CERT (CERT/CC).

«Un atacante podría aprovechar esta vulnerabilidad, rastreada como CVE-2026-11405, para eludir el proceso de validación de contraseña y obtener control administrativo total sin credenciales válidas», dijo CERT/CC en la alerta.

Esta vulnerabilidad afecta a varias versiones de firmware.

US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE US_AC10V1.0re_V15.03.06.46_multi_TDE01 US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 US_AC6V2.0RTL_V15.03.06.51_multi_T

La funcionalidad de puerta trasera reside dentro de la función «login()» del binario del servidor web «/bin/httpd». Inicialmente, este método sigue la ruta de autenticación normal utilizando la validación de contraseña basada en MD5, pero activa una ruta de código alternativa si falla la autenticación.

Específicamente, esto implica llamar a «GetValue(«sys.rzadmin.password»)» para obtener un valor de contraseña alternativo de la configuración del dispositivo y realizar una comparación directa de texto sin formato entre la contraseña especificada por el usuario y el valor almacenado en la configuración. Si estos valores coinciden, la aplicación otorga acceso a nivel de administrador (rol=2) y crea una sesión válida con privilegios elevados.

«Como el nombre de usuario asociado (‘rzadmin’) no está verificado, el nombre de usuario proporcionado tiene éxito cuando se combina con la contraseña de la puerta trasera», dijo CERT/CC. «Este mecanismo de autenticación de puerta trasera no está documentado y no puede verse a través de la interfaz administrativa».

El uso exitoso de esta anulación de validación de nombre de usuario estándar permite acceso administrativo completo a la interfaz web del dispositivo, independientemente de las credenciales de la cuenta de administrador. Esto podría permitir que un atacante modifique la configuración de forma remota, deshabilite las funciones de seguridad o reconfigure el dispositivo, lo que podría llevar a la toma completa del dispositivo.

Esta vulnerabilidad fue reportada por un investigador anónimo y aún no ha sido reparada al momento de escribir este artículo. Hacker News se comunicó con Tenda para hacer comentarios y actualizará el artículo si recibimos una respuesta.

Mientras tanto, recomendamos que los usuarios deshabiliten la administración remota de sus dispositivos y cambien la dirección IP de la LAN predeterminada para evitar que actores maliciosos lleguen a sus dispositivos y reducir la detección oportunista por parte de escáneres automatizados que apuntan a rangos de IP predeterminados conocidos.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEstados Unidos compromete 150 millones de dólares para esfuerzos de recuperación de la industria del petróleo y el gas
Next Article La UE envía trabajadores de emergencia y aviones a los incendios forestales en Portugal y Francia
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

julio 7, 2026

BeyondTrust corrige fallas críticas de omisión de autenticación en soporte remoto y PRA

julio 7, 2026

Los piratas informáticos vinculados a Irán utilizan el nuevo marco Cavern C2 para atacar a organizaciones israelíes

julio 6, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Presuntos piratas informáticos afiliados a China explotan las fallas de Roundcube contra universidades

Aalo Atomics logra un hito de criticidad avanzada del reactor

La UE envía trabajadores de emergencia y aviones a los incendios forestales en Portugal y Francia

CERT/CC advierte sobre puerta trasera de administrador oculta en el firmware del enrutador Tenda

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.