Múltiples vulnerabilidades en LabView de National Instruments
Fecha de publicación 19/12/2025
Identificador
INCIBE-2025-0725
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones están afectadas:
- LabVIEW versiones anteriores a 2025_Q3, incluida.
- LabVIEW 2024.
- LabVIEW 2023.
- LabVIEW 2022.
- LabVIEW 2021.
Descripción
Michael Heinzl ha informado sobre 9 vulnerabilidades de severidad alta que podrían permitir a un atacante divulgar información y ejecutar código arbitrario.
Solución
Actualizar a las siguientes versiones:
- 2025 Q3 Patch 3 o posterior.
- 2024 Q3 Patch 5 o posterior.
- 2023 Q3 Patch 8 o posterior.
- 2022 Q3 Patch 7 o posterior.
Detalle
- CVE-2025-64461: escritura fuera de límites al abrir un VI dañado, lo que podría permitir a un atacante ejecutar código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un archivo VI especialmente diseñado.
- Lectura fuera de límites, en las funciones enumeradas a continuación, al abrir un VI dañado, lo que podría permitir a un atacante divulgar información o ejecutar código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un archivo VI especialmente diseñado.
- CVE-2025-64462: LVResFile::RGetMemFileHandle();
- CVE-2025-64463: LVResource::DetachResource();
- CVE-2025-64464: lvre!VisaWriteFromFile();
- CVE-2025-64465: lvre!DataSizeTDR();
- CVE-2025-64466: lvre!ExecPostedProcRecPost();
- CVE-2025-64467: LVResFile::FindRsrcListEntry().
- CVE-2025-64468: uso posterior a la liberación al abrir un VI corrupto, lo que podría permitir a un atacante ejecutar código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un archivo VI especialmente diseñado.
- CVE-2025-64469: desbordamiento de búfer basada en pila al abrir un VI corrupto, lo que podría permitir a un atacante ejecutar código arbitrario. Para explotarla con éxito, el atacante debe obligar al usuario a abrir un archivo VI especialmente diseñado.
CVE
Listado de referencias
