Vulnerabilidad en YAML (CVE-2024-39780)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
02/04/2025
Última modificación:
26/08/2025
Descripción
Se encontró una vulnerabilidad de deserialización de YAML en 'dynparam' del Sistema Operativo Robot (ROS), una herramienta de línea de comandos para obtener, configurar y eliminar parámetros de un nodo configurable dinámicamente. Esta vulnerabilidad afecta a las distribuciones de ROS Noetic y anteriores. El problema se debe al uso de la función yaml.load() en los verbos 'set' y 'get', y permite la creación de objetos Python arbitrarios. Gracias a esta vulnerabilidad, un usuario local o remoto puede crear y ejecutar código Python arbitrario. Este problema se ha corregido para ROS Noetic mediante el commit 3d93ac13603438323d7e9fa74e879e45c5fe2e8e.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:openrobotics:robot_operating_system:indigo_igloo:*:*:*:*:*:*:* | ||
| cpe:2.3:o:openrobotics:robot_operating_system:kinetic_kame:*:*:*:*:*:*:* | ||
| cpe:2.3:o:openrobotics:robot_operating_system:melodic_morenia:*:*:*:*:*:*:* | ||
| cpe:2.3:o:openrobotics:robot_operating_system:noetic_ninjemys:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página