CVE-2026-35903

Descripción de la Vulnerabilidad

CVE-2026-35903 es un fallo de autenticación inadecuado en el servicio RTSP del modelo MERCURY MIPC252W, versión 1.0.5 Build 230306 Rel.79931n. La vulnerabilidad permite a un atacante procesar métodos RTSP como SETUP, PLAY y TEARDOWN incluso cuando la cabecera Authorization contiene un valor vacío o inválido, siempre que se haya realizado una autenticación Digest exitosa en una solicitud inicial DESCRIBE.

El problema surge porque el dispositivo no verifica el parámetro de respuesta Digest en solicitudes subsiguientes dentro de la misma sesión. Esto permite a los atacantes explotar la vulnerabilidad sin necesidad de validar correctamente las credenciales durante la autenticación secundaria.

Sistemas Afectados

El dispositivo vulnerable es el modelo MERCURY MIPC252W, con firmware versión 1.0.5 Build 230306 Rel.79931n. Este modelo es un tipo de cámara IP que utiliza el protocolo RTSP para transmitir contenido en tiempo real.

Impacto y Explotabilidad

La vulnerabilidad tiene un CVSS 9.8, lo que indica un impacto crítico. Un atacante puede aprovecharla para acceder a la cámara sin autenticación válida, permitiendo el control remoto o la interrupción de la transmisión de video. La explotación requiere que el atacante inicie una solicitud DESCRIBE con autenticación Digest y luego envíe solicitudes subsiguientes con valores inválidos en la cabecera Authorization.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución recomendada es actualizar el firmware del dispositivo a una versión posterior que incluya la corrección del fallo de autenticación. Los usuarios deben verificar las actualizaciones oficiales del fabricante para mitigar el riesgo. No se proporcionan detalles específicos sobre parches en este contexto, pero se recomienda contactar al proveedor de hardware para confirmar la disponibilidad de correcciones seguras.