Vulnerabilidad en ClamAV (CVE-2025-20260)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)

Fecha de publicación:

18/06/2025

Última modificación:

23/06/2025

Descripción

Una vulnerabilidad en los procesos de escaneo de PDF de ClamAV podría permitir que un atacante remoto no autenticado provoque un desbordamiento de búfer, una denegación de servicio (DoS) o ejecute código arbitrario en un dispositivo afectado. Esta vulnerabilidad se debe a que los búferes de memoria se asignan incorrectamente al procesar archivos PDF. Un atacante podría explotar esta vulnerabilidad enviando un archivo PDF manipulado para que ClamAV lo escanee en un dispositivo afectado. Una explotación exitosa podría permitir al atacante provocar un desbordamiento de búfer, lo que probablemente resultaría en la finalización del proceso de escaneo de ClamAV y una denegación de servicio (DoS) en el software afectado. Aunque no se ha demostrado, también existe la posibilidad de que un atacante aproveche el desbordamiento de búfer para ejecutar código arbitrario con los privilegios del proceso de ClamAV.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://blog.clamav.net/2025/06/clamav-143-and-109-security-patch.html