Múltiples vulnerabilidades en TLS4B de Veeder-Root
Veeder-Root TLS4B Automatic Tank Gauge System, versiones anteriores a la 11.A.
Pedro Umbelino de Bitsight ha informado de 2 vulnerabilidades, 1 de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir a un atacante ejecutar comandos a nivel de sistema, obtener acceso completo al intérprete de comandos, ejecutar comandos en remoto, realizar movimientos laterales dentro de la red, provocar una condición de denegación de servicio, provocar un bloqueo administrativo e interrumpir las funcionalidades básicas del sistema.
Para la vulnerabilidad CVE-2025-58428 el fabricante recomienda actualizar el producto a la versión 11.A.
Para la vulnerabilidad CVE-2025-55067, actualmente no hay un parche que solucione el problema, aunque el fabricante está trabajando en él, por lo que se recomienda tener la red protegida con las mejores prácticas de protección de redes.
CVE-2025-58428: de severidad crítica. La interfaz basada en SOAP del sistema TLS4B ATG tiene una vulnerabilidad en el acceso al gestor de servicios web. Esta vulnerabilidad permite a atacantes remotos con credenciales válidas ejecutar comandos como administrador en el sistema operativo Linux subyacente. Esto puede permitir a un atacante lograr la ejecución de comandos en remoto, acceso completo al intérprete de comandos y, potencialmente, realizar movimientos laterales dentro de la red.
CVE-2025-55067: de severidad alta. El sistema TLS4B ATG tiene una vulnerabilidad por gestionar incorrectamente los valores de tiempo de Unix que superen el cambio de periodo de 2038. Cuando el reloj del sistema llega a 19 de enero de 2038 se reinicia al 13 de diciembre de 1901, lo que provoca fallos en la autenticación y la interrupción de funcionalidades básicas del sistema como el acceso al inicio de sesión, visualización del histórico y la finalización de la detección de fugas. Esta vulnerabilidad podría permitir a un atacante manipular el tiempo del sistema para provocar una condición de denegación de servicio (DoS), lo que provocaría un bloqueo administrativo, fallos en el gestor del tiempo operativo y entradas de registro corruptas.
