Vulnerabilidad en ClamAV (CVE-2025-20128)

Una vulnerabilidad en la rutina de descifrado Object Linking and Embedding 2 (OLE2) de ClamAV podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a un desbordamiento de enteros en una comprobación de los límites que permite una lectura de desbordamiento de búfer de montón. Un atacante podría aprovechar esta vulnerabilidad enviando un archivo manipulado con contenido OLE2 para que ClamAV lo escanee en un dispositivo afectado. Una explotación exitosa podría permitir al atacante terminar el proceso de escaneo de ClamAV, lo que provocaría una condición de denegación de servicio (DoS) en el software afectado. Para obtener una descripción de esta vulnerabilidad, consulte el . Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.