Múltiples vulnerabilidades en Cobalt de Ashlar-Vellum
Cobalt
Rocco Calvi (@TecR0c) con TecSecurity, ha notificado 14 vulnerabilidades de severidad alta que podrían permitir a un atacante realizar una ejecución remota de código. Para explotarla, se requiere la interacción del usuario, ya que se debe visitar una página maliciosa o abrir un archivo malicioso.
Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con el producto.
2 de las vulnerabilidad se encuentran en en el análisis de archivos LI:
- CVE-2025-8000: falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede generar una confusión de tipos.
- CVE-2025-7993: no se valida la existencia de un objeto antes de realizar operaciones en él.
5 de las vulnerabilidades se encuentran en el análisis de archivos CO debido a una falta de una validación adecuada de los datos proporcionados por el usuario:
- CVE-2025-8001: puede provocar una corrupción de memoria.
- CVE-2025-8002: puede generar una confusión de tipos.
- CVE-2025-8003: puede provocar una lectura más allá del final de una estructura de datos asignada.
- CVE-2025-7995: puede generar una confusión de tipos.
- CVE-2025-7998: puede provocar una escritura posterior al final de una estructura de datos asignada.
4 de las vulnerabilidades se encuentran en el análisis de archivos XE debido a la falta de una validación adecuada de los datos proporcionados por el usuario:
- CVE-2025-8004: puede provocar una lectura más allá del final de una estructura de datos asignada.
- CVE-2025-8005: puede generar una confusión de tipos.
- CVE-2025-8006: puede provocar una lectura más allá del final de una estructura de datos asignada.
- CVE-2025-7997: puede provocar una lectura antes del inicio de una estructura de datos asignada.
3 de las vulnerabilidades se encuentran en el análisis de archivos AR debido a la falta de una validación adecuada de los datos proporcionados por el usuario:
- CVE-2025-7994: puede provocar una lectura más allá del final de una estructura de datos asignada.
- CVE-2025-7996: puede provocar una escritura posterior al final de una estructura de datos asignada.
- CVE-2025-7999: puede generar una confusión de tipos.