Vulnerabilidad en Versa Director SD-WAN (CVE-2025-24291)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
19/06/2025
Última modificación:
23/06/2025
Descripción
La plataforma de orquestación Versa Director SD-WAN permite cargar diversos tipos de archivos. Sin embargo, el código Java que gestiona la carga de archivos contiene una vulnerabilidad de inyección de argumentos. Al añadir argumentos adicionales al nombre del archivo, un atacante puede eludir la validación de tipo MIME, lo que permite cargar archivos de cualquier tipo. Esta vulnerabilidad puede explotarse para almacenar un archivo malicioso en el disco. Versa Networks no tiene constancia de ningún caso reportado de explotación de esta vulnerabilidad. Investigadores de seguridad externos han divulgado una prueba de concepto de esta vulnerabilidad. No existen soluciones alternativas para desactivar la opción de interfaz gráfica de usuario (GUI). Versa recomienda actualizar Director a una de las versiones de software corregidas.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://security-portal.versa-networks.com/emailbulletins/68526fc6dc94d6b9f2faf71d
- https://support.versa-networks.com/support/solutions/articles/23000024323-release-21-2-3
- https://support.versa-networks.com/support/solutions/articles/23000025680-release-22-1-2
- https://support.versa-networks.com/support/solutions/articles/23000026033-release-22-1-3
- https://support.versa-networks.com/support/solutions/articles/23000026708-release-22-1-4