Múltiples vulnerabilidades en Karl Fischer EVA de Mettler-Toledo
Fecha de publicación 27/05/2026
Identificador
INCIBE-2026-378
Importancia
4 - Alta
Recursos Afectados
Los siguientes productos con versiones anteriores a la 2.0.2.6:
- EVA C1 Coulometric Karl Fischer Titrator;
- EVA C3 Coulometric Karl Fischer Titrator;
- EVA V1 Volumetric Karl Fischer Titrator;
- EVA V3 Volumetric Karl Fischer Titrator.
Descripción
CERT@VDE en coordinación con Mettler-Toledo ha publicado 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante, mediante imágenes especialmente diseñadas, llegar a provocar una denegación de servicio, divulgación de información, corrupción de memoria y ejecución de código arbitrario.
Solución
El fabricante recomienda actualizar a la versión 2.0.2.6 que corrige la vulnerabilidad.
Detalle
- CVE-2026-33636: se produce en la ruta optimizada Neon para arquitecturas ARM/AARch64 al procesar imágenes PNG paletizadas. Un atacante podría aprovechar esta condición mediante una imagen manipulada para provocar corrupción de memoria, divulgación de información, denegación de servicio o ejecución de código.
- CVE-2026-33416: afecta a la gestión de buffers internos de libpng. La explotación de esta vulnerabilidad puede permitir el acceso a memoria liberada y desencadenar corrupción de memoria o ejecución de código arbitrario durante el procesamiento de imágenes PNG manipuladas.
CVE
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33636 | Alta | No | Mettler-Toledo |
| CVE-2026-33416 | Alta | No | Mettler-Toledo |
Listado de referencias
