Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en Streamline NX V3 de RICOH
- Múltiples vulnerabilidades en productos GitLab
Múltiples vulnerabilidades en Streamline NX V3 de RICOH
RICOH Streamline NX V3, para PC cliente, versiones de la 3.5.0 a 3.242.0 (CVE-2025-36506 y CVE-2025-46783) y de la 3.5.0 a la 3.7.0 (CVE-2025-48825).
Para consultar la versión del producto en el PC, ejecutar RICOH Streamline NX PC Client:
- Hacer clic con el botón derecho en el icono de la bandeja de tareas e ir a la opción "Información de la versión".
- En el Panel de Control, en la lista de "Programas y características" comprobar la versión de "RICOH Streamline NX PC Client"
CYS DET PEN de Siemen ha descubierto 3 vulnerabilidades, 1 de severidad crítica, otra media y otra baja que, en caso de ser explotadas, podrían permitir sobrescribir cualquier fichero de la máquina del usuario y deshabilitar cualquier funcionalidad que proporcione, ejecutar código como AUTHORITY/SYSTEM y ejecutar un DLL con código personalizado.
Actualizar a la versión 3.243.0 o posterior para las vulnerabilidades CVE-2025-36506 y CVE-2025-46783 y a la última versión disponible para recursos afectados por la vulnerabilidad CVE-2025-48825.
La vulnerabilidad de severidad crítica es de tipo salto de directorio en el endpoint de eliminación de fichero, esto permite a un atacante eliminar archivos arbitrarios en la unidad C:\ como "NT AUTHORITY\SYSTEM". Si se explota esta vulnerabilidad se puede lograr, en última instancia, ejecutar código como "NT AUTHORITY\SYSTEM".
Se ha asignado el identificador CVE-2025-46783 a esta vulnerabilidad.
Las vulnerabilidad de severidad media tiene el identificador CVE-2025-36506 y la de severidad baja CVE-2025-48825, la descripción de cada una de ellas se puede encontrar en los enlaces de las referencias.
Múltiples vulnerabilidades en productos GitLab
Las siguientes versiones de GitLab Community Edition (CE), Enterprise Edition (EE) y GitLab Ultimate (EE) se ven afectadas:
- Desde la versión 18.0 hasta la 18.0.2;
- Versiones 17.9 anteriores a 17.10.8, 17.11 anteriores a 17.11.4, y 18.0 anteriores a 18.0.2;
- Versiones 17.11 anteriores a 17.11.4 y 18.0 anteriores a 18.0.2;
- Versiones 17.7 anteriores a 17.10.8, 17.11 anteriores a 17.11.4, y 18.0 anteriores a 18.0.2.
El resto de versiones afectadas por las vulnerabilidades de severidad media y baja, pueden consultarse en las referencias.
GitLab ha publicado 10 vulnerabilidades: 4 de severidad alta, 5 de severidad media y 1 de severidad baja, que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), inyectar encabezados maliciosos, provocar denegaciones de servicio o acceder a información restringida.
Actualizar GitLab CE/EE y GitLab Ultimate EE a una de las siguientes versiones:
- 18.0.2;
- 17.11.4;
- 17.10.8.
- CVE-2025-4278: vulnerabilidad de inyección HTML, cuya explotación podría permitir a un atacante hacerse con el control de una cuenta inyectando código en la página de búsqueda.
- CVE-2025-2254: Cross-Site scripting (XSS) que podría permitir a un atacante actuar en el contexto de un usuario legítimo inyectando un script malicioso en el visor de fragmentos.
- CVE-2025-5121: omisión de autorización que podría permitir a un atacante con acceso autenticado a una instancia de GitLab con una licencia de GitLab Ultimate (de pago o de prueba) inyectar un trabajo de CI/CD malicioso en todas las canalizaciones de CI/CD futuras de cualquier proyecto.
- CVE-2025-0673: vulnerabilidad que podría haber permitido a un atacante exitoso denegar el acceso a usuarios legítimos del sistema objetivo al activar un bucle de redirección infinito que causaba agotamiento de la memoria en el servidor.
Para el resto de vulnerabilidades se recomienda acceder al enlace de las referencias.