Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en Vision 60 de Ghost Robotics
- Divulgación de información en Squid
Múltiples vulnerabilidades en Vision 60 de Ghost Robotics
Vision 60, versión 0.27.2.
INCIBE ha coordinado la publicación de 3 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta, que afectan a Vision 60 de Ghost Robotics, un robot cuadrúpedo terrestre diseñado para operar en entornos complejos con condiciones adversas. Las vulnerabilidades han sido descubiertas por Adrián Campazas Vega y Claudia Álvarez Aparicio.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-41108: CVSS v4.0: 9.2 | CVSS AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-287
- CVE-2025-41109: CVSS v4.0: 8.7 | CVSS AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-798
- CVE-2025-41110: CVSS v4.0: 7.0 | CVSS AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-287
No hay solución reportada por el momento.
- CVE-2025-41108: el protocolo de comunicación implementado en Ghost Robotics Vision 60 v0.27.2 podría permitir a un atacante enviar comandos al robot desde una estación atacante externa al sistema, suplantando la estación de control (tablet) y obteniendo el control total no autorizado del robot. La ausencia de mecanismos de cifrado y autenticación en el protocolo de comunicación permite a un atacante capturar el tráfico legítimo entre el robot y el controlador, replicarlo y enviar cualquier comando válido al robot desde cualquier ordenador o dispositivo atacante. El protocolo de comunicación utilizado en esta interfaz se basa en MAVLink, un protocolo ampliamente documentado, lo que aumenta la probabilidad de ataque. Existen dos métodos para conectarse de forma remota al robot: Wi-Fi y 4G/LTE.
- CVE-2025-41109: Ghost Robotics Vision 60 v0.27.2 incluye, entre sus interfaces físicas, tres conectores RJ45 y un puerto USB tipo C. La vulnerabilidad se debe a la falta de mecanismos de autenticación al establecer conexiones a través de estos puertos. Concretamente, en lo que respecta a la conectividad de red, el router interno del robot asigna automáticamente direcciones IP a cualquier dispositivo conectado físicamente a él. Un atacante podría conectar un punto de acceso WiFi bajo su control para obtener acceso a la red del robot, sin necesidad de las credenciales de la red desplegada. Una vez dentro, el atacante puede supervisar todos sus datos, ya que el robot funciona con ROS 2 sin autenticación por defecto.
- CVE-2025-41110: se encontraron credenciales WiFi y SSH codificadas en el APK de Ghost Robotics Vision 60 v0.27.2. Esta vulnerabilidad permite a un atacante conectarse al WiFi del robot y observar todos sus datos, ya que funciona con ROS 2 sin autenticación por defecto. Además, el atacante puede conectarse a través de SSH y obtener el control total del robot, lo que podría causar daños físicos al propio robot o a su entorno.
Divulgación de información en Squid
- Squid, versiones anteriores a la 7.2.
Squid ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto llevar a cabo una divulgación de información sensible.
Squid ha solucionado la vulnerabilidad reportada en la versión 7.2.
Una vulnerabilidad en Squid permite la divulgación de información sensible debido a un fallo al eliminar credenciales de autenticación HTTP. Un atacante remoto podría aprovechar este fallo para obtener las credenciales o tokens de seguridad utilizados por un cliente o una aplicación web detrás de Squid, incluso si no está configurada la autenticación HTTP en el proxy.
Se ha asignado el identificador CVE-2025-62168 para esta vulnerabilidad.