Múltiples vulnerabilidades en VT-Designer y HMITool de INVT
Las siguientes versiones de VT-Designer y HMITool:
- HMITool, versión 7.1.011. Para las vulnerabilidades CVE-2025-7223, CVE-2025-7224, CVE-2025-7225 y CVE-2025-7226.
- VT-Designer, versión 2.1.13. Para las vulnerabilidades CVE-2025-7227, CVE-2025-7228, CVE-2025-7229, CVE-2025-7230 y CVE-2025-7231.
Kimiya, en colaboración con Trend Micro's Zero Day Initiative (ZDI), ha informado de 9 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante ejecutar código arbitrario en el contexto del proceso en ejecución.
Actualmente no hay disponible ningún parche que solucione el problema.
En todos los casos, si se explota la vulnerabilidad se permite a los atacantes ejecutar código arbitrario en el contexto del proceso en ejecución. Para ello se requiere la interacción con el usuario, quien tiene que abrir un archivo manipulado, el programa no lo analizará de forma adecuada, lo que puede provocar una escritura más allá del final de la estructura de datos asignada, que es lo que permite al atacante ejecutar el código arbitrario.
Las vulnerabilidades tienen asignados los siguientes identificadores y afectan a los siguientes productos y ficheros:
- Vulnerabilidades CVE-2025-7223, CVE-2025-7224, CVE-2025-7225 y CVE-2025-7226 - HMITool - Ficheros VPM.
- Vulnerabilidades CVE-2025-7227, CVE-2025-7228, CVE-2025-7229, CVE-2025-7230 y CVE-2025-7231 - VT-Designer - Ficheros PM3.
