Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Qualcomm Technologies - junio de 2025
  • Múltiples vulnerabilidades en StoreOnce VSA de HPE

Boletín de seguridad de Qualcomm Technologies - junio de 2025

Fecha03/06/2025
Importancia5 - Crítica
Recursos Afectados
  • Graphics;
  • Graphics Windows;
  • Core;
  • Data Network Stack & Connectivity;
  • WLAN HAL;
  • Bluetooth HOST;
  • WLAN Host Communication;
  • DSP Service;
  • Audio;
  • Computer Vision;
  • Camera Driver.
Descripción

Qualcomm ha publicado su boletín de seguridad mensual donde se solucionan 18 vulnerabilidades: 

  • 10 de ellas que afectan a su software: 2 de ellas catalogadas por el fabricante como críticas y 8 de severidad alta
  • 8 afectan a software de terceros: 3 de severidad alta y 5 media.
Solución

Instalar los parches facilitados por el fabricante.

Detalle

Las vulnerabilidades catalogadas por el fabricante como críticas afectan al software del propietario y consisten en una corrupción de memoria por una ejecución de comandos no autorizada en GPU miconode cuando se ejecuta una secuencia de comandos concreta. En función del componente afectado tienen asociado el siguiente identificador:

  • Graphics: identificador CVE-2025-21479
  • Graphics Windows: identificador CVE-2025-21480

Nota: el Grupo de análisis de amenazas de Google ha indicado que estas vulnerabilidades, junto con otra vulnerabilidad de severidad alta, CVE-2025-27038, podrían estar siendo explotadas de forma limitada y dirigida.

El resto de vulnerabilidades se pueden consultar en el aviso oficial disponible en las referencias.

Múltiples vulnerabilidades en StoreOnce VSA de HPE

Fecha03/06/2025
Importancia5 - Crítica
Recursos Afectados

HPE StoreOnce VSA: anterior a v4.3.11.

Descripción

HPE ha publicado 8 vulnerabilidades: 1 de severidad crítica, 4 altas y 3 medias. Estas vulnerabilidades podrían explotarse remotamente para permitir una ejecución de código, divulgación de información, falsificación de solicitudes del lado del servidor, omisión de la autenticación, eliminación arbitraria de archivos y divulgación de información mediante navegación de directorios.

Solución

HPE StoreOnce, versiones de software 4.3.11 o posteriores.

Detalle

La vulnerabilidad crítica es de tipo omisión de autenticación. El fallo se encuentra en la implementación del método 'machineAccountCheck'. El problema se debe a la implementación incorrecta de un algoritmo de autenticación. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación en el sistema. Se ha asignado el identificador CVE-2025-37093 para esta vulnerabilidad.

Se han asignado los identificadores CVE-2025-37093, CVE-2025-37093, CVE-2025-37093 y CVE-2025-37093 para las vulnerabiliades de severidad alta.