Plataforma
linux
Componente
voltronic-power-snmp-web-pro
Corregido en
1.1.1
Se ha descubierto una vulnerabilidad de bypass de autenticación en Voltronic Power SNMP Web Pro, afectando a la versión 1.1. Esta falla permite a atacantes no autenticados acceder a funciones de administración privilegiadas, comprometiendo la seguridad del dispositivo. La vulnerabilidad se explota manipulando los valores de localStorage en el navegador del cliente, eludiendo los controles de acceso del servidor. La versión 7.6.47 corrige esta vulnerabilidad.
La explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado obtener acceso completo a las funciones de administración del Voltronic Power SNMP Web Pro. Esto incluye la capacidad de modificar la configuración del dispositivo, acceder a datos sensibles, e incluso interrumpir el servicio. El impacto es crítico, ya que un atacante podría tomar el control total del dispositivo sin necesidad de credenciales válidas. La manipulación de localStorage facilita la elusión de los mecanismos de autenticación estándar, lo que hace que la explotación sea relativamente sencilla. La falta de autenticación adecuada abre la puerta a ataques de denegación de servicio, robo de información y manipulación de la infraestructura de energía.
Esta vulnerabilidad ha sido publicada el 13 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. La facilidad de explotación, al no requerir autenticación, aumenta la probabilidad de que sea explotada en la naturaleza. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Organizations utilizing Voltronic Power SNMP Web Pro for network management, particularly those with exposed management interfaces or those lacking robust network segmentation, are at significant risk. Shared hosting environments where multiple users share the same SNMP Web Pro instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment.
• linux / server:
journalctl -u snmpwebpro | grep -i "localStorage"• generic web:
curl -I <snmpwebpro_url> | grep -i "localStorage"disclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el Voltronic Power SNMP Web Pro a la versión 7.6.47 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la interfaz web desde redes no confiables y monitorear el tráfico de red en busca de actividades sospechosas. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para detectar y bloquear intentos de manipulación de localStorage. Verifique después de la actualización que la autenticación funcione correctamente y que no se puedan acceder a las funciones de administración sin credenciales válidas.
Actualice el dispositivo a una versión corregida proporcionada por Voltronic Power. Verifique el sitio web oficial de Voltronic Power o contacte con su soporte técnico para obtener la última versión y las instrucciones de actualización. Como medida temporal, desactive el acceso web si no es esencial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22192 is a critical vulnerability in Voltronic Power SNMP Web Pro versions 1.1 that allows attackers to bypass authentication by manipulating browser localStorage, gaining unauthorized access to management functions.
If you are using Voltronic Power SNMP Web Pro version 1.1, you are affected by this vulnerability. Upgrade to version 7.6.47 or later to mitigate the risk.
The recommended fix is to upgrade to version 7.6.47 or later. If upgrading is not immediately possible, implement temporary workarounds such as restricting network access.
While no active exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a potential for exploitation. Monitor your systems closely.
Please refer to the Voltronic Power website or contact their support team for the official advisory regarding CVE-2026-22192.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.