Múltiples vulnerabilidades en LabX Standard de Mettler Toledo
- LabX Standard v21.3.22
- LabX Standard v21.4.23
CERT@VDE en coordinación con Mettler Toledo ha publicado 21 vulnerabilidades: 2 de severidad crítica y 19 altas que, en caso de ser explotadas, podrían permitir a un atacante evadir mecanismos de autenticación, ejecutar código arbitrario, obtener acceso no autorizado, acceder a información sensible o provocar condiciones de denegación de servicio (DoS).
Mettler-Toledo GmbH recomienda actualizar todas las instalaciones de LabX Standard a la versión 21.4.23, donde se corrigen la mayoría de las vulnerabilidades identificadas.
No obstante, las vulnerabilidades CVE-2025-69419, CVE-2026-0915, CVE-2025-15467 y CVE-2025-58187 permanecen sin resolver en el momento de publicación del aviso, estando previstas correcciones en futuras versiones del producto.
- CVE-2025-68121: una validación incorrecta de certificados durante la reanudación de sesiones TLS podría permitir a un atacante eludir los controles de autenticación y establecer sesiones que deberían haber sido rechazadas.
- CVE-2018-15727: una vulnerabilidad de omisión de autenticación en Grafana podría permitir a un atacante generar cookies válidas y acceder de forma no autorizada a cuentas de usuario.
- CVE-2025-15467, CVE-2023-36414, CVE-2025-68154 y CVE-2021-24112: múltiples vulnerabilidades que incluyen desbordamientos de búfer, inyección de comandos e inyección de código podrían permitir la ejecución de código arbitrario y el compromiso del sistema afectado.
- CVE-2024-0056, CVE-2026-24737, CVE-2026-21218, CVE-2026-0915 y CVE-2025-69419: diversas vulnerabilidades podrían permitir el acceso a información sensible, la suplantación de identidad o la alteración de datos debido a fallos en la validación o tratamiento de entradas en distintos componentes.
- CVE-2025-58187, CVE-2025-9230, CVE-2025-15281, CVE-2026-26127, CVE-2026-26130, CVE-2026-2391, CVE-2026-22036, CVE-2024-43483 y CVE-2023-29331: múltiples vulnerabilidades podrían provocar condiciones de denegación de servicio (DoS), consumo excesivo de recursos, corrupción de memoria o interrupción del funcionamiento normal de la aplicación.
- CVE-2025-46817: una vulnerabilidad de desbordamiento de enteros en Redis podría permitir a un usuario autenticado ejecutar código arbitrario mediante la ejecución de scripts Lua especialmente manipulados.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2025-68121 | Crítica | No | Mettler-Toledo |
| CVE-2018-15727 | Crítica | No | Mettler-Toledo |
| CVE-2025-15467 | Alta | No | Mettler-Toledo |
| CVE-2023-36414 | Alta | No | Mettler-Toledo |
| CVE-2024-0056 | Alta | No | Mettler-Toledo |
| CVE-2025-68154 | Alta | No | Mettler-Toledo |
| CVE-2026-24737 | Alta | No | Mettler-Toledo |
| CVE-2021-24112 | Alta | No | Mettler-Toledo |
| CVE-2025-58187 | Alta | No | Mettler-Toledo |
| CVE-2025-9230 | Alta | No | Mettler-Toledo |
| CVE-2025-15281 | Alta | No | Mettler-Toledo |
| CVE-2026-21218 | Alta | No | Mettler-Toledo |
| CVE-2026-26127 | Alta | No | Mettler-Toledo |
| CVE-2026-26130 | Alta | No | Mettler-Toledo |
| CVE-2026-0915 | Alta | No | Mettler-Toledo |
| CVE-2026-2391 | Alta | No | Mettler-Toledo |
| CVE-2026-22036 | Alta | No | Mettler-Toledo |
| CVE-2024-43483 | Alta | No | Mettler-Toledo |
| CVE-2023-29331 | Alta | No | Mettler-Toledo |
| CVE-2025-69419 | Alta | No | Mettler-Toledo |
| CVE-2025-46817 | Alta | No | Mettler-Toledo |
