Ejecución en remoto de código en Telex RDC Server y RTS VLink Virtual Matrix de BOSCH
- RTS VLink Virtual Matrix Software para Windows:
- Versión 5.
- Versiones desde la 6.0.0 hasta la 6.6.0, excluida.
- Telex Remote Dispatch Console Server para Windows:
- Versiones desde la 1.0.0 hasta la 1.3.0, excluida.
Omer Shaik ha descubierto esta vulnerabilidad, de severidad crítica que, en caso de ser explotada podría permitir la ejecución remota de código (RCE).
Actualizar el producto a las siguientes versiones:
- Telex Remote Dispatch Console Server, versión 1.3.0;
- VLink Virtual Matrix Software, actualizar a la versión 6.6.0, tanto si se estaba empleando la versión 5, como la 6.
En caso de duda puede consultar las instrucciones de actualización de VLink.
Debido a la severidad de la vulnerabilidad, se recomienda actualizar cuanto antes. No obstante, si esto no es posible, se recomienda, como medida de mitigación, bloquear en el cortafuegos los puertos de interfaz web (80 y 443) para RTS VLink Virtual Matrix Software o Telex RDC Server. De esta forma se previene que la vulnerabilidad pueda ser explotada en remoto.
La vulnerabilidad es de tipo control inadecuado de generación de código (code injection) y se encuentra en la REST API, su explotación permite a usuarios, no autorizados, ejecutar de forma remota código arbitrario en el servidor.
Se ha asignado el identificador CVE-2025-29902 a esta vulnerabilidad.
