Múltiples vulnerabilidades en productos de Ashlar-Vellum
- Cobalt, versiones anteriores a 12.6.1204.204;
- Xenon, versiones anteriores a 12.6.1204.204;
- Argon, versiones anteriores a 12.6.1204.204;
- Lithium, versiones anteriores a 12.6.1204.204;
- Cobalt Share, versiones anteriores a 12.6.1204.204.
Michael Heinzl ha descubierto 4 vulnerabilidades de severidad alta en los productos Cobalt, Xenon, Argon, Lithium y Cobalt Share de Ashlar-Vellum. Una explotación exitosa de estas vulnerabilidades podría permitir a un atacante obtener de información y ejecutar código arbitrario.
Ashlar-Vellum recomienda vehementemente que todos los usuarios actualicen los productos Cobalt, Xenon, Argon, Lithium y Cobalt Share a la última versión disponible utilizando "Help > Check Web for Updates" desde el menú principal de la aplicación. La versión a la que se recomienda actualizar es la 12.6.1204.204 o superior.
Como medida preventiva se recomienda a los usuarios abrir únicamente abrir archivos de CO/XE/AR/LI o importar formatos de archivo soportados desde fuentes confiables.
Las vulnerabilidades, de severidad alta, afectan a las cinco aplicaciones para distintos tipos de fichero:
- CVE-2025-53705: para archivos CO;
- CVE-2025-41392: para archivos AR files;
- CVE-2025-52584: para archivos XE;
- CVE-2025-46269: para archivos VC6;
En todos los casos, las aplicaciones no validan correctamente los datos de usuario al parsear estos ficheros. Lo cual podría llevar a una escritura fuera de límites, permitiendo ejecutar código en el contexto del proceso.
