Avisos de seguridad
En 2N, creemos que la mejor manera de proteger a nuestros clientes es ser transparentes sobre los riesgos potenciales y solucionarlos rápidamente.
Esta página enumera las vulnerabilidades corregidas conocidas que afectan a los productos y servicios de 2N, junto con cualquier componente de código abierto relacionado. Cada entrada se identifica mediante su ID CVE (Common Vulnerabilities and Exposures, vulnerabilidades y exposiciones comunes) registrado en cve.org.
Antes de participar en el CVE (CNA), publicábamos nuestros primeros CVE bajo la cuenta CNA de Axis. Desde que obtuvimos la certificación CNA, emitimos CVE directamente bajo el nombre 2N para facilitar el seguimiento y aumentar la transparencia.
Si descubres una vulnerabilidad que afecte a cualquier producto 2N y no aparece aquí, comunícala mediante este formulario para que podamos investigarla inmediatamente.
2N CVE
Este registro recoge las vulnerabilidades específicas de los productos y servicios de 2N. Recomendamos encarecidamente actualizar cualquier dispositivo afectado tan pronto como se publiquen las correcciones.
CVE 2025
2N Access Commander
| Número CVE | Severidad CVSS | Versión parcheada | Asesoría de seguridad / Resumen de vulnerabilidad |
| CVE-2025-59783 | 8.8 (ALTO) | 3.4.2 | Asesoría de seguridad 2N: El punto final de la API para la sincronización de usuarios en 2N Access Commander versión 3.4.1 no tenía una validación de entrada suficiente, lo que permitía la inyección de comandos del sistema operativo. Esta vulnerabilidad solo puede ser explotada tras autenticar con privilegios de administrador |
| CVE-2025-59784 | 6.9 (MEDIO) | 3.4.2 | Asesoría de seguridad 2N: 2N Access Commander versión 3.4.1 y anteriores es vulnerable a la contaminación de registros. Ciertos parámetros enviados a través de la API pueden incluirse en los registros sin validación o saneamiento previo. Esta vulnerabilidad solo puede ser explotada tras autenticar con privilegios de administrador. |
| CVE-2025-59785 | 5.3 (MEDIO) |
3.5 | Asesoría de seguridad 2N: La validación inadecuada del punto final de la API en 2N Access Commander versión 3.4.2 y anteriores permite al atacante eludir la política de contraseñas para la encriptación de archivos de respaldo. Esta vulnerabilidad solo puede ser explotada tras autenticar con privilegios de administrador. |
| CVE-2025-59786 | 6 (MEDIO) |
3.5 | Asesoría de seguridad 2N: 2N Access Commander versión 3.4.2 y anteriores invalida de manera inadecuada los tokens de sesión, permitiendo que múltiples cookies de sesión permanezcan activas después de cerrar sesión en la aplicación web. |
| CVE-2025-59787 |
5.3 (MEDIO) |
3.5 | Asesoría de seguridad 2N: La aplicación 2N Access Commander versión 3.4.2 y anteriores devuelve respuestas HTTP 500 Internal Server Error al recibir solicitudes malformadas o manipuladas, indicando un manejo inadecuado de entradas inválidas y posibles impactos en la seguridad o disponibilidad. |
CVE 2024
2N OS
| Número CVE | Severidad CVSS | Versión parcheada | Asesoría de seguridad / Resumen de vulnerabilidad |
| CVE-2024-13416 | 4.3 (MEDIO) | 2N OS 2.46 | Asesoría de seguridad 2N: Al usar la API en el dispositivo 2N OS, el usuario autorizado puede habilitar el registro, lo que revela tokens de autenticación válidos en el registro del sistema. |
| CVE-2024-13417 | 4.6 (MEDIO) | 2N OS 2.46 | Asesoría de seguridad 2N: Cargas útiles específicamente diseñadas enviadas al lector RFID podrían causar un DoS del lector RFID. Después de reiniciar el dispositivo, vuelve a un estado de funcionamiento completo. |
2N Access Commander
| Número CVE | Severidad CVSS | Versión parcheada | Asesoría de seguridad / Resumen de vulnerabilidad |
| CVE-2024-47253 | 7.2 (ALTO) | 3.2 | Asesoría de seguridad 2N: En las versiones 3.1.1.2 y anteriores de 2N Access Commander, una vulnerabilidad de recorrido de ruta podría permitir a un atacante con privilegios administrativos escribir archivos en el sistema de archivos y potencialmente lograr la ejecución remota arbitraria de código. |
| CVE-2024-47254 | 6.3 (MEDIO) | 3.2 | Asesoría de seguridad 2N: En las versiones 3.1.1.2 y anteriores de 2N Access Commander, una vulnerabilidad de Verificación Insuficiente de la Autenticidad de los Datos podría permitir a un atacante escalar sus privilegios y obtener acceso root al sistema. |
| CVE-2024-47255 | 4.7 (MEDIO) | 3.2 | Asesoría de seguridad 2N: En las versiones 3.1.1.2 y anteriores de 2N Access Commander, un atacante local puede escalar sus privilegios en el sistema, lo que podría permitir la ejecución de código arbitrario con permisos de root. |
| CVE-2024-47256 | 6.0 (MEDIO) | 3.3 | Asesoría de seguridad 2N: La explotación exitosa de esta vulnerabilidad podría permitir a un atacante (que necesita tener privilegios de acceso de Admin) leer la frase de paso AES codificada, que puede ser utilizada para la descifrado de ciertos datos dentro de los archivos de respaldo de 2N Access Commander versión 1.14 y anteriores. |
| CVE-2024-47258 | 8.1 (ALTO) | 3.3 | Asesoría de seguridad 2N: Desde la versión 2.2 de 2N Access Commander (lanzada en febrero de 2022) es posible hacer cumplir la validación del certificado TLS y prevenir ataques MITM. Consulte la sección de Solución y Mitigación a continuación para más detalles. La validación del certificado TLS no está activada en la configuración predeterminada y debe ser habilitada por el administrador. |
¿Ha detectado algún problema de ciberseguridad? Comparte tus hallazgos con nosotros.
