Vulnerabilidad en PX4 Autopilot (CVE-2024-24254)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-362
Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
06/02/2024
Última modificación:
05/06/2025
Descripción
PX4 Autopilot 1.14 y versiones anteriores, debido a la falta de un mecanismo de sincronización para cargar datos de geovalla, tiene una vulnerabilidad de condición de ejecución en geofence.cpp y Mission_feasibility_checker.cpp. Esto dará como resultado que el dron cargue geocercas y rutas de misión superpuestas.
Impacto
Puntuación base 3.x
4.20
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dronecode:px4_drone_autopilot:*:*:*:*:*:*:*:* | 1.14.0 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Drone-Lab/PX4-Autopilot/blob/report-can-not-pause-vulnerability/Multi-Threaded%20Race%20Condition%20bug%20found%20in%20PX4%20cause%20drone%20can%20not%20PAUSE.md
- https://github.com/PX4/PX4-Autopilot
- https://github.com/Drone-Lab/PX4-Autopilot/blob/report-can-not-pause-vulnerability/Multi-Threaded%20Race%20Condition%20bug%20found%20in%20PX4%20cause%20drone%20can%20not%20PAUSE.md
- https://github.com/PX4/PX4-Autopilot