Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ROS 2 Nodes (CVE-2023-24010)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
09/01/2025
Última modificación:
09/01/2025

Descripción

Un atacante puede manipular de forma arbitraria participantes maliciosos de DDS (o nodos ROS 2) con certificados válidos para comprometer y obtener el control total del sistema de bus de datos DDS seguro atacado explotando atributos vulnerables en la configuración de validación del certificado PKCS#7. Esto se debe a una implementación no conforme de la verificación de documentos de permiso utilizada por algunos proveedores de DDS. En concreto, un uso indebido de la función PKCS7_verify de OpenSSL utilizada para validar firmas S/MIME.