Se ha descubierto una vulnerabilidad de severidad crítica en MikroTik RouterOS 7. Un actor malicioso podría explotar ésta para ejecutar código remoto de forma arbitraria, causar denegación de servicio o corromper memoria del sistema sin requerir autenticación previa.
Productos afectados
- RouterOS hasta la versión 7.14.2
- SwitchOS hasta la versión 2.18
Es probable que otros dispositivos que utilizan el mismo componente WebFig también se vean afectados.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-61481: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de transmisión de información sensible en texto plano en la interfaz de gestión WebFig de MikroTik RouterOS y SwitchOS, donde la interfaz de gestión se expone por defecto sobre protocolo HTTP sin redirección automática a HTTP seguro (HTTPS). Un actor malicioso podría actuar como intermediario en la comunicación para interceptar las credenciales de administrador que se transmiten sin cifrado, ganando acceso a la interfaz de gestión.
Recomendación
Actualizar a la última versión a través del sitio web oficial del fabricante cuando se encuentra disponible.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-61481
- https://github.com/B1ack4sh/Blackash-CVE-2025-61481