Múltiples vulnerabilidades en productos de Sophos
Fecha de publicación 23/07/2025
Identificador
INCIBE-2025-0400
Importancia
5 - Crítica
Recursos Afectados
- Para CVE-2024-13974 y CVE-2024-13973:
- Versiones de Sophos Firewall anteriores a la v21.0 GA (21.0.0).
- Para CVE-2025-6704, CVE-2025-7624 y CVE-2025-7382:
- Versiones de Sophos Firewall anteriores a la v21.5 GA (21.5.0).
Descripción
Sophos ha reportado 5 vulnerabilidades: 2 de severidad crítica, 2 altas y 1 media, cuya explotación podría permitir a un atacante ejecutar código de forma remota.
Solución
Actualizar los productos afectados a las siguientes versiones:
- Para CVE-2024-13974 y CVE-2024-13973: v21.0 GA (21.0.0) o posterior.
- Para CVE-2025-6704, CVE-2025-7624 y CVE-2025-7382: v21.5 GA (21.5.0) o posterior.
Detalle
- CVE-2025-6704: vulnerabilidad de severidad crítica de escritura arbitraria de archivos en la función Secure PDF eXchange (SPX) puede conducir a la ejecución remota de código si una configuración específica de SPX está habilitada en combinación con el cortafuegos que se ejecuta en modo de alta disponibilidad (HA).
- CVE-2025-7624: vulnerabilidad, de severidad crítica, de inyección SQL en el proxy SMTP heredado, la cual podría dar lugar a la ejecución remota de código si está activa una política de cuarentena para el correo electrónico y SFOS se ha actualizado desde una versión anterior a 21.0 GA.
- CVE-2025-7382: vulnerabilidad de severidad alta de inyección de comandos en WebAdmin. La explotación de esta vulnerabilidad puede llevar a atacantes adyacentes a conseguir la ejecución de código en dispositivos auxiliares de Alta Disponibilidad (HA), si la autenticación OTP para el usuario admin está habilitada.
- CVE-2024-13974: vulnerabilidad, de severidad alta, de lógica de negocio en el componente Up2Date podría llevar a los atacantes a controlar el entorno DNS del cortafuegos para lograr la ejecución remota de código.
Se ha asignado el identificador CVE-2024-13973 para la vulnerabilidad de severidad media.
CVE
Explotación
No
Listado de referencias
Etiquetas