Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Cobalt de Ashlar-Vellum

Fecha de publicación 31/07/2025
Identificador
INCIBE-2025-0413
Importancia
4 - Alta
Recursos Afectados

Cobalt

Descripción

Rocco Calvi (@TecR0c) con TecSecurity, ha notificado 14 vulnerabilidades de severidad alta que podrían permitir a un atacante realizar una ejecución remota de código. Para explotarla, se requiere la interacción del usuario, ya que se debe visitar una página maliciosa o abrir un archivo malicioso.

Solución

Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con el producto.

Detalle

2 de las vulnerabilidad se encuentran en en el análisis de archivos LI:

  • CVE-2025-8000: falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede generar una confusión de tipos.
  • CVE-2025-7993: no se valida la existencia de un objeto antes de realizar operaciones en él.

5 de las vulnerabilidades se encuentran en el análisis de archivos CO debido a una falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-8001: puede provocar una corrupción de memoria.
  • CVE-2025-8002: puede generar una confusión de tipos.
  • CVE-2025-8003: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7995: puede generar una confusión de tipos.
  • CVE-2025-7998: puede provocar una escritura posterior al final de una estructura de datos asignada.

4 de las vulnerabilidades se encuentran en el análisis de archivos XE debido a la falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-8004: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-8005: puede generar una confusión de tipos.
  • CVE-2025-8006: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7997: puede provocar una lectura antes del inicio de una estructura de datos asignada. 

3 de las vulnerabilidades se encuentran en el análisis de archivos AR debido a la falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-7994: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7996: puede provocar una escritura posterior al final de una estructura de datos asignada.
  • CVE-2025-7999: puede generar una confusión de tipos.
CVE
Explotación
No
Explotación
No
Severidad
Alta
Explotación
No
Explotación
No
Explotación
No
Explotación
No
Explotación
No
Explotación
No
Explotación
No
Severidad
Alta
Explotación
No
Explotación
No
Etiquetas