Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Samsung: septiembre de 2025
  • Múltiples vulnerabilidades en Workspace ONE UEM de Omnissa

Boletín de seguridad de Samsung: septiembre de 2025

Fecha15/09/2025
Importancia5 - Crítica
Recursos Afectados

Versiones de Samsung Mobile con Android 13, 14, 15 o 16.

Descripción

Samsung ha publicado en su boletín de seguridad 60 vulnerabilidades: 2 de severidad crítica y 58 de severidad alta que podrían provocar una ejecución remota de código o una denegación de servicio local.

Solución

Aplicar el último parche de seguridad disponible.

Detalle

CVE-2025-27034: en la función 'getDefaultCBRPackageName' de CellBroadcastHandler.java, existe una posible escalada de privilegios debido a un error lógico en el código. Esto podría provocar una denegación de servicio local, con privilegios de ejecución del sistema requeridos. No se requiere la interacción del usuario para su explotación.

CVE-2025-48539: en la función 'SendPacketToPeer' de acl_arbiter.cc, existe una posible lectura fuera de límites debido a un uso posterior a la liberación. Esto podría provocar la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación.

CVE-2025-21043: vulnerabilidad de severidad alta que estaba siendo explotada. La escritura fuera de límites en 'libimagecodec.quram.so' anterior a SMR Sep-2025 Release 1 podría permitir a atacantes remotos ejecutar código arbitrario.

Para el resto de vulnerabilidades de severidad alta se puede consultar más información en el enlace de las referencias.

Múltiples vulnerabilidades en Workspace ONE UEM de Omnissa

Fecha15/09/2025
Importancia4 - Alta
Recursos Afectados

Omnissa Workspace ONE UEM (On-Premises).

Descripción

Omnissa ha publicado 2 vulnerabilidades: 1 de severidad alta y otra media que en caso de ser explotadas podrían permitir acceder a información confidencial o enumerar recursos internos de la red.

Existe una prueba de concepto (PoC) pública que podría permitir la explotación de la vulnerabilidad de severidad alta.

Solución

Existe un parche disponible pasa solucionar las vulnerabilidades.

Detalle

CVE-2025-25231: vulnerabilidad de salto de directorio (Path-Traversal) a través de un contexto secundario de la aplicación. Un atacante malicioso podría acceder a información confidencial enviando solicitudes GET manipuladas (de solo lectura) a endpoints de API restringidos. Esta vulnerabilidad podría estar siendo explotada debido a que existe una prueba de concepto pública.