Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI

Múltiples vulnerabilidades en Cobalt de Ashlar-Vellum

Fecha31/07/2025
Importancia4 - Alta
Recursos Afectados

Cobalt

Descripción

Rocco Calvi (@TecR0c) con TecSecurity, ha notificado 14 vulnerabilidades de severidad alta que podrían permitir a un atacante realizar una ejecución remota de código. Para explotarla, se requiere la interacción del usuario, ya que se debe visitar una página maliciosa o abrir un archivo malicioso.

Solución

Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con el producto.

Detalle

2 de las vulnerabilidad se encuentran en en el análisis de archivos LI:

  • CVE-2025-8000: falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede generar una confusión de tipos.
  • CVE-2025-7993: no se valida la existencia de un objeto antes de realizar operaciones en él.

5 de las vulnerabilidades se encuentran en el análisis de archivos CO debido a una falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-8001: puede provocar una corrupción de memoria.
  • CVE-2025-8002: puede generar una confusión de tipos.
  • CVE-2025-8003: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7995: puede generar una confusión de tipos.
  • CVE-2025-7998: puede provocar una escritura posterior al final de una estructura de datos asignada.

4 de las vulnerabilidades se encuentran en el análisis de archivos XE debido a la falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-8004: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-8005: puede generar una confusión de tipos.
  • CVE-2025-8006: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7997: puede provocar una lectura antes del inicio de una estructura de datos asignada. 

3 de las vulnerabilidades se encuentran en el análisis de archivos AR debido a la falta de una validación adecuada de los datos proporcionados por el usuario:

  • CVE-2025-7994: puede provocar una lectura más allá del final de una estructura de datos asignada.
  • CVE-2025-7996: puede provocar una escritura posterior al final de una estructura de datos asignada.
  • CVE-2025-7999: puede generar una confusión de tipos.