Se han identificado dos vulnerabilidades significativas en el Sistema de Reservas en Línea de **SpiceJet**, que podrían afectar la privacidad de los pasajeros. Estas vulnerabilidades, detalladas a continuación, podrían permitir a los atacantes acceder a información sensible sin la debida autorización. ### Resumen de Vulnerabilidades Según un informe de CISA, la explotación exitosa de estas vulnerabilidades podría permitir a un atacante divulgar información sensible. Las siguientes versiones del Sistema de Reservas en Línea de SpiceJet se ven afectadas: * Sistema de Reservas en Línea vers:all/* (**CVE-2026-6375**, **CVE-2026-6376**) | CVSS | Proveedor | Equipo | Vulnerabilidades | | :----- | :----------- | :-------------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 7.5 | SpiceJet | Sistema de Reservas en Línea SpiceJet | Omisión de Autorización a Través de Clave Controlada por el Usuario, Falta de Autenticación para Funciones Críticas | * **Sectores de Infraestructura Crítica:** Sistemas de Transporte * **Países/Áreas de Implementación:** Mundial * **Ubicación de la Sede de la Empresa:** India ### CVE-2026-6375: Omisión de Autorización a Través de Clave Controlada por el Usuario Esta vulnerabilidad permite a usuarios no autenticados consultar registros de nombres de pasajeros (PNR) sin controles de acceso. Dado que los identificadores de PNR siguen un patrón predecible, un atacante podría enumerar sistemáticamente registros válidos y obtener los nombres de pasajeros asociados. Esta falla se origina en la falta de verificaciones de autorización en un endpoint destinado al acceso de perfiles autenticados. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-6375) **Productos Afectados:** * **Proveedor:** SpiceJet * **Versión del Producto:** Sistema de Reservas en Línea SpiceJet: vers:all/* * **Estado del Producto:** known_affected * **CWE Relevante:** [CWE-639 Omisión de Autorización a Través de Clave Controlada por el Usuario](https://cwe.mitre.org/data/definitions/639.html) ### CVE-2026-6376: Falta de Autenticación para Funciones Críticas Esta debilidad permite acceder a los detalles completos de la reserva de un pasajero utilizando solo un PNR y el apellido, sin mecanismos de autenticación o verificación. Esto resulta en la exposición de metadatos extensos de datos personales, de viaje y de reserva a cualquier usuario no autenticado que pueda obtener o adivinar esas entradas básicas. El problema surge de un control de acceso inadecuado en una función de recuperación de datos sensibles. [Ver Detalles de CVE](https://www.cve.org/CVERecord?id=CVE-2026-6376) **Productos Afectados:** * **Proveedor:** SpiceJet * **Versión del Producto:** Sistema de Reservas en Línea SpiceJet: vers:all/* * **Estado del Producto:** known_affected * **CWE Relevante:** [CWE-306 Falta de Autenticación para Funciones Críticas](https://cwe.mitre.org/data/definitions/306.html) ### Remediación CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades: * Minimizar la exposición de red para todos los dispositivos y/o sistemas de control, asegurándose de que no sean accesibles desde Internet. * Ubicar las redes de sistemas de control y los dispositivos remotos detrás de firewalls y aislarlos de las redes empresariales. * Cuando se requiera acceso remoto, utilizar métodos más seguros, como Redes Privadas Virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También reconocer que una VPN es tan segura como los dispositivos conectados. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas. Las organizaciones que observen actividades maliciosas sospechosas deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes. CISA también recomienda a los usuarios tomar las siguientes medidas para protegerse de ataques de ingeniería social: * No haga clic en enlaces web ni abra archivos adjuntos en mensajes de correo electrónico no solicitados. * Consulte Reconociendo y Evitando Estafas por Correo Electrónico para obtener más información sobre cómo evitar estafas por correo electrónico. * Consulte Evitando la Ingeniería Social y los Ataques de Phishing para obtener más información sobre los ataques de ingeniería social.