Cinco nuevos avisos de SCI y una actualización

En determinadas circunstancias, la herramienta ICU podría tener un problema de desbordamiento de búfer.

Se ha asignado el identificador CVE-2025-26382 para esta vulnerabilidad.

UNI-NMS-Lite, WGS-80HPT-V2 y WGS-4215-8T2S son vulnerables a un ataque de inyección de comandos que podría permitir que un atacante, no autenticado, lea o manipule datos del dispositivo o ejecute comandos del sistema operativo en el sistema host. Se han asignado los identificadores CVE-2025-46271 y CVE-2025-46272 para estas vulnerabilidades

UNI-NMS-Lite tiene credenciales en su código que podrían permitir que un atacante, no autenticado, obtenga privilegios de administrador en todos los dispositivos administrados por UNI-NMS o que lea, manipule y cree entradas en la base de datos que gestiona. Se han asignado los identificadores CVE-2025-46273 y CVE-2025-46274 para estas vulnerabilidades.

WGS-80HPT-V2 y WGS-4215-8T2S tienen una falta de autenticación, lo que podría permitir que un atacante cree una cuenta de administrador sin conocer ninguna credencial existente. Se ha asignado el identificador CVE-2025-46275 para esta vulnerabilidad.

La serie Linear eMerge e3 es vulnerable a una inyección de comandos del sistema operativo. Un atacante remoto, no autenticado, puede ejecutar comandos arbitrarios del sistema operativo mediante el parámetro 'login_id' al invocar la función "forgot_password" a través de HTTP.

Se ha asignado el identificador CVE-2024-9441 para esta vulnerabilidad.

Las versiones afectadas contienen una vulnerabilidad que podría permitir a un atacante acceder a archivos que contienen información confidencial, como credenciales que podrían usarse para comprometer aún más el dispositivo.

Se ha asignado el identificador CVE-2025-3606 para esta vulnerabilidad.

La vulnerabilidad, de severidad alta, se produce por una expiración insuficiente de sesión, lo que puede permitir a un atacante trasmitir contraseñas a través de conexiones no cifradas y hacer que el producto sea susceptible de ser interceptado.

Se le ha asignado el identificador CVE-2025-2185 a esta vulnerabilidad.

• Si un usuario abre un archivo especialmente diseñado, en los productos TELLUS y/o TELLUS Lite o en los módulos V-Server, V-Server Lite y/o V-SFT, podría provocar un desbordamiento de buffer que revelaría información o ejecutaría código. Se ha asignado el identificador CVE-2024-38309 para esta vulnerabilidad.
• Si un usuario abre un archivo especialmente diseñado, en los productos TELLUS y/o TELLUS Lite o en los módulos V-Server, V-Server Lite y/o V-SFT, podría provocar una lectura fuera de rango revelaría información o ejecutaría código. Se han asignado los identificadores CVE-2024-38389 y CVE-2024-38658 para estas vulnerabilidades.
• Debido a la validación incorrecta en los módulos V-SFT, un usuario puede abrir un archivo o visitar una página web maliciosos, lo que podría provocar un desbordamiento de buffer para ejecutar código remoto. Se ha asignado el identificador CVE-2024-11933 para esta vulnerabilidad.
• Un error en el análisis sintáctico de los archivos V8 del componente V-Simulator 5 en Tellius Lite, y de los archivos V8, V8C, V10 de V-SFT que podría provocar un desbordamiento de buffer permitiendo a un atacante remoto ejecutar código si un usuario interactuara con un archivo o una web maliciosos. Se han asignado los identificadores CVE-2024-11802, CVE-2024-11799, CVE-2024-11787, CVE-2024-11789, CVE-2024-11792, CVE-2024-11795 y CVE-2024-11791 para estas vulnerabilidades.
• Un error en el análisis sintáctico de los archivos V8 del componente V-Simulator 5 en Tellius Lite, y de los archivos V8, V9C, V10 y X1de V-SFT que podría provocar una escritura fuera de rango, permitiendo a un atacante remoto ejecutar código si un usuario interactuara con un archivo o una web maliciosos. Se han asignado los identificadores CVE-2024-11800, CVE-2024-11801, CVE-2024-11803, CVE-2024-11793, CVE-2024-11794, CVE-2024-11796, CVE-2024-11797 y CVE-2024-11798 para estas vulnerabilidades.