Vulnerabilidad en OpenKilda (CVE-2025-54992)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)

Fecha de publicación:

11/08/2025

Última modificación:

12/08/2025

Descripción

OpenKilda es un controlador OpenFlow de código abierto. Antes de la versión 1.164.0, se detectó una vulnerabilidad de inyección de entidades externas XML (XXE) en OpenKilda que, en combinación con GHSL-2025-024, permite a atacantes no autenticados extraer información de la instancia donde se ejecuta la interfaz de usuario de OpenKilda. Este problema puede provocar la divulgación de información. Este problema se ha corregido en la versión 1.164.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vulnerabilidad en OpenKilda (CVE-2025-54992)

Descripción

Impacto

Referencias a soluciones, herramientas e información