Deserialización de datos no confiables en Cityworks de Trimble
Las siguientes versiones de Trimble Cityworks:
- Cityworks: todas las versiones anteriores a la 15.8.9;
- Cityworks con Office Companion: todas las versiones anteriores a la 23.10.
Trimble ha informado de una vulnerabilidad de severidad alta que podría permitir que un usuario autenticado realice una ejecución remota de código (RCE).
Trimble recomienda actualizar los productos afectados a las siguientes versiones:
- Cityworks: actualizar a la versión 15.8.9 o posterior.
- Cityworks con Office Companion: actualizar a la versión 23.10 o posterior.
Se sugiere a los usuarios contactar al soporte técnico de Trimble para obtener las actualizaciones correspondientes.
La vulnerabilidad se debe a una deserialización de datos no confiables en las versiones afectadas de Trimble Cityworks. Un usuario autenticado, podría explotar esta vulnerabilidad para ejecutar código malicioso de forma remota en el servidor IIS del cliente, comprometiendo la integridad, confidencialidad y disponibilidad del sistema afectado.
Se ha asignado el identificador CVE-2025-0994 para esta vulnerabilidad.