Cuatro nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en productos Ixia Vision de Keysight
- Múltiples vulnerabilidades en Apollo de GMOD
- Neutralización incorrecta de elementos especiales en cámaras IP Edimax IC-7100
- Desbordamiento de montículo en CNCSoft de Delta Electronics
Múltiples vulnerabilidades en productos Ixia Vision de Keysight
- Familia de productos Ixia Vision: Versiones 6.3.1.
El Centro de Ciberseguridad de la OTAN (NCSC) ha descubierto estas vulnerabilidades, una de severidad alta y 3 media, que podrían provocar el bloqueo del dispositivo al que se acceda o la ejecución remota de código.
Actualizar a la última versión del producto.
Hay un salto de ruta (path traversal) que puede permitir la ejecución remota de código con una cuenta con privilegios de administrador (no se puede explotar con un usuario normal); esto en combinación con la funcionalidad de Guardar ('Upload') se podría aprovechar para ejecutar scripts (secuencias de códigos) arbitrarios o un binario que ya esté almacenado.
Esta vulnerabilidad, de severidad alta, tiene asignado el CVE-2025-24494.
El resto de vulnerabilidades son de severidad media y tienen asignados los códigos CVE-2025-24521, CVE-2025-21095 y CVE-2025-23416.
Múltiples vulnerabilidades en Apollo de GMOD
Apollo: todas las versiones anteriores a la 2.8.0.
GMOD ha reportado 4 vulnerabilidades: 2 de severidad crítica, una de severidad alta y una de severidad media, cuya explotación podría permitir a un atacante escalar privilegios, saltarse la autenticación, cargar archivos maliciosos o revelar información sensible.
GMOD recomienda a los usuarios que actualicen a la nueva versión 2.8.0.
- Vulnerabilidad de severidad crítica en Apollo, por la cual, al cargar datos de organismos o secuencias a través de la interfaz web, la aplicación descomprimirá e inspeccionará los archivos y no comprobará el recorrido de las rutas en los tipos de archivo compatibles. Se ha asignado el identificador CVE-2025-23410 para esta vulnerabilidad.
- Algunas funciones de Apollo no requieren autenticación si se pasan con un nombre de usuario administrativo. Se ha asignado el identificador CVE-2025-24924 para esta vulnerabilidad.
Se han asignado los identificadores CVE-2025-21092 y CVE-2025-20002 para las vulnerabilidades de severidad alta y media, respectivamente.
Neutralización incorrecta de elementos especiales en cámaras IP Edimax IC-7100
Todas las versiones de las cámara IP IC-7100 de Edimax.
Akamai SIRT ha reportado una vulnerabilidad crítica de ejecución remota de código que podría permitir a un atacante enviar solicitudes especialmente diseñadas para lograr la ejecución remota de código en el dispositivo.
No hay una solución disponible. Los usuarios deberían adoptar medidas defensivas como instalar los sistemas en redes aisladas no conectadas a internet, sin acceso a redes corporativas, exigir uso de VPN para conectarse, o incluso reevaluar la necesidad de usar el dispositivo.
Edimax IC-7100 no filtra las peticiones. Un atacante puede utilizar peticiones especialmente preparadas para conseguir ejecutar código en el dispositivo.
Se ha asignado el identificador CVE-2025-1316 para esta vulnerabilidad.
Desbordamiento de montículo en CNCSoft de Delta Electronics
- CNCSoft-G2, versiones V2.1.0.10 y anteriores.
Trend Micro Zero Day Initiative ha detectado esta vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código de forma remota.
Actualizar a la versión v2.1.0.20 o posterior.
CNCSoft-G2 no valida correctamente la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montículo de longitud fija. Un atacante puede manipular a los usuarios para que visiten una página o un archivo malicioso y aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual.
Esta vulnerabilidad de severidad alta tiene asignado el código CVE-2025-22881.