Múltiples vulnerabilidades en Vitogate 300 de Viessmann
Fecha de publicación 24/09/2025
Identificador
INCIBE-2025-0513
Importancia
4 - Alta
Recursos Afectados
Vitogate 300, versiones anteriores a la 3.1.0.1.
Descripción
adhkr, de LuwakLab, en colaboración con Trend Micro Zero Day Initiative y Souvik Kandar, de MicroSec, han informado de 2 vulnerabilidades, ambas de severidad alta, que, en caso de ser explotadas, podrían permitir a un atacante modificar un comando del SO cuando se envía a un componente posterior o provocar interacciones imprevistas entre el cliente y el servidor.
Solución
Actualizar a la versión 3.1.0.1 o posterior desde el sitio web de Vitogate 300.
Detalle
- CVE-2025-9494: neutralización incorrecta de elementos especiales empleados en un comando del SO. Vitogate 300 crea todo o parte de un comando del sistema operativo utilizando como entrada información proporcionada por un componente anterior, pero no neutraliza o lo hace incorrectamente elementos especiales que podrían modificar el comando previsto del SO que se envía a un componente posterior.
- CVE-2025-9495: aplicación en el lado del cliente de la seguridad del lado del servidor. Cuando el servidor depende de mecanismos de protección en el lado del cliente, un atacante puede modificar el comportamiento del lado del cliente para eludirlos, lo que potencialmente puede provocar interacciones inesperadas entre el cliente y el servidor. Las consecuencias varían dependiendo de qué se esté intentando proteger con los mecanismos.
CVE
Listado de referencias
