Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en DAQFactory de AzeoTech

Fecha de publicación 12/12/2025
Identificador
INCIBE-2025-0707
Importancia
4 - Alta
Recursos Afectados

DAQFactory: versión 20.7 (compilación 2555) y anteriores.

Descripción

Michael Heinzl ha reportado 7 vulnerabilidades de severidades altass que, en caso de ser explotadas, permitirían a un atacante provocar la divulgación de información confidencial o la ejecución de código arbitrario, siempre y cuando este cargue un archivo .ctl malicioso.

Solución

Se recomienda actualizar a la versión 21.1 en la cual la vulnerabilidad ha sido parcheada.

Si no se puede actualizar a esta versión, se recomienda seguir los pasos de mitigación en el enlace de las referencias para minimizar los riesgos.

Detalle
  • CVE-2025-66590: escritura fuera de límites que puede provocar que el programa escriba datos más allá del límite de memoria asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar de código arbitrario o crear un fallo en el sistema.
  • CVE-2025-66589: lectura fuera de límites que podría provocar que el programa lea datos más allá del límite del búfer asignado. Esto podría permitir que un atacante divulgue información o provoque un fallo del sistema.
  • CVE-2025-66588: acceso a un puntero no inicializado que puede provocar la ejecución de código arbitrario si un atacante explota esta vulnerabilidad.
  • CVE-2025-66587: vulnerabilidad sobre el desbordamiento de búfer basado en el montón al analizar archivos .ctl especialmente diseñados. Explotar esta vulnerabilidad permitiría a un atacante ejecutar código en el contexto del proceso actual.
  • CVE-2025-66586: vulnerabilidad sobre el acceso a recursos mediante un tipo incompatible podría causar la corrupción de memoria al analizar archivos .ctl especialmente diseñados. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
  • CVE-2025-66585: vulnerabilidad sobre el uso de punteros después de la liberación podría causar la corrupción de memoria al analizar archivos .ctl especialmente diseñados. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
  • CVE-2025-66584: desbordamiento de búfer basado en pila para causar corrupción de memoria al analizar archivos .ctl especialmente diseñados. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
CVE
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66590
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66589
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66588
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66587
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66586
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66585
Severidad
Alta
Explotación
No
Fabricante
azeotech
Identificador CVE
CVE-2025-66584
Severidad
Alta
Listado de referencias
ICSA-25-345-03 - AzeoTech DAQFactory
Etiquetas