Múltiples vulnerabilidades en HVAC DMS de Samsung
Fecha de publicación 30/07/2025
Identificador
INCIBE-2025-0411
Importancia
4 - Alta
Recursos Afectados
Samsung HVAC DMS:
- Versiones 2.0.0 a 2.3.13.0;
- Versiones 2.5.0.17 a 2.6.14.0;
- Versiones 2.7.0.15 a 2.9.3.5.
Descripción
Noam Moshe de Claroty Team82 ha informado de 6 vulnerabilidades, 3 de severidad alta y 3 media que, en caso de ser explotadas, podrían permitir la ejecución de código en remoto sin autenticación.
Solución
Contactar con el servicio técnico de Samsung para informarse de las actualizaciones.
Por otro lado, Samsung informa que este producto no está diseñado para estar conectado de forma directa a la red, sino para funcionar en redes aisladas.
Detalle
Las vulnerabilidades de severidad alta afectan a Samsung DMS (Data Management Server) y son:
- CVE-2025-53078: deserialización de datos no confiables. Permite a los atacantes ejecutar código arbitrario mediante la escritura de ficheros en el sistema.
- CVE-2025-53081: limitación inadecuada de una ruta de acceso a un directorio restringido. Una "creación arbitraria de archivos" permite a los atacantes crear archivos arbitrarios en ubicaciones no deseadas del sistema de archivos. La explotación está restringida a direcciones IP privadas específicas y autorizadas.
- CVE-2025-53082: salto de ruta relativo. Una "eliminación arbitraria de archivos" permite a los atacantes eliminar archivos arbitrarios de ubicaciones no deseadas en el sistema de archivos. La explotación está restringida a direcciones IP privadas específicas y autorizadas.
Las vulnerabilidades de severidad media tienen asignados los identificadores CVE-2025-53077, CVE-2025-53079 y CVE-2025-53080 y su detalle puede consultarse en el enlace de las referencias.
CVE
Listado de referencias
