Vulnerabilidad en Apache NuttX RTOS apps/exapmles/xmlrpc (CVE-2025-47869)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-119 Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria

Fecha de publicación:

16/06/2025

Última modificación:

17/06/2025

Descripción

Se descubrió una vulnerabilidad de restricción incorrecta de operaciones dentro de los límites de un búfer de memoria en la aplicación Apache NuttX RTOS apps/exapmles/xmlrpc. En esta aplicación de ejemplo, la estructura de estadísticas del dispositivo, que almacenaba parámetros proporcionados remotamente, tenía un tamaño de búfer codificado, lo que podía provocar un desbordamiento del búfer. Los búferes de los miembros de la estructura se actualizaron a un tamaño válido de CONFIG_XMLRPC_STRINGSIZE+1. Este problema afecta a los usuarios de Apache NuttX RTOS que hayan usado o basado su código en la aplicación de ejemplo presentada en versiones anteriores a la 6.22 y anteriores a la 12.9.0. Se recomienda a los usuarios de XMLRPC en Apache NuttX RTOS que revisen su código para detectar este patrón y actualicen los tamaños de búfer según la versión del ejemplo en la versión 12.9.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto