Cuatro nuevos avisos de seguridad

• CVE-2025-20354: la vulnerabilidad se encuentra en el proceso Java Remote Method Invocation (RMI) de Cisco Unified CCX, ya que no emplea mecanismos de autenticación adecuados. Un atacante podría explotar esta vulnerabilidad subiendo un archivo manipulado en un sistema afectado a través del proceso RMI; lo que le permitiría ejecutar comandos arbitrarios en el sistema operativo del dispositivo y elevar sus privilegios a root.
• CVE-2025-20358: la vulnerabilidad se encuentra en la aplicación Editor de Contact Center Express (CCX) que carece de mecanismos de autenticación adecuados para comunicarse con el servidor Unified CCX. Un atacante podría explotar esta vulnerabilidad redirigiendo el flujo de autenticación a un servidor malicioso y engañando al Editor CCX para que crea que la autenticación fue satisfactoria. Si se explota con éxito un atacante podría crear y ejecutar scripts arbitrarios en el sistema operativo del dispositivo con una cuenta de no-root interna.

Las vulnerabilidades son independientes entre sí, no es necesario explotar una de ellas para poder explotar la otra.

La vulnerabilidad de severidad crítica de tipo inyección SQL afecta a los métodos 'QuerySet.filter()', 'QuerySet.exclude()' y 'QuerySet.get()' y a la clase 'Q()'. Para explotar la vulnerabilidad, un atacante podría emplear un diccionario adecuadamente manipulado, con expansión de diccionario, como el argumento '_connector'.

La vulnerabilidad tiene asignado el identificador CVE-2025-64459.

La vulnerabilidad de severidad alta tiene el identificador CVE-2025-64458 y su detalle se puede consultar en los enlaces de las referencias.

Las vulnerabilidades de severidad crítica son:

• CVE-2024-45337: en la librería golang.org/x/crypto existe un mal uso de la devolución de llamada 'ServerConfig.PublicKeyCallback'. Debido a esto, una aplicación podría hacer decisiones de autorización basadas en una clave pública para la que el atacante no controla la privada, provocando una omisión de autorización.
• CVE-2022-2068: en el script 'c_rehash' de OpenSSL se detectó que no depura correctamente caracteres especiales del shell, permitiendo la ejecución de comandos arbitrarios con los privilegios del script. Afecta versiones 3.0.0-3.0.3, 1.1.1o, 1.0.2ze, según el entorno.
• CVE-2022-1292: en el script 'c_rehash' de OpenSSL, exite un fallo de inyección de comandos debido a que el script no depura correctamente caracteres de metacomando del shell. En sistemas donde se ejecuta automáticamente, un atacante podría ejecutar comandos con los privilegios del script.
• CVE-2025-4517: en el módulo tarfile de Python se ha detectado que la función 'extractall()' o 'extract()' con filter="data" o filter="tar" podría permitir la escritura arbitraria fuera del directorio de extracción al procesar archivos TAR no confiables.
• CVE-2025-22871: el paquete net/http acepta incorrectamente un salto de línea (LF) sin formato como terminador de línea en líneas de datos fragmentados. Esto podría permitir el contrabando de solicitudes si se utiliza un servidor net/http junto con un servidor que acepta incorrectamente un salto de línea sin formato como parte de una extensión de fragmento.
• CVE-2024-21896: en el modelo experimental de permisos de Node.js la protección contra path traversal se subvertía mediante la modificación de Buffer.prototype.utf8Write, permitiendo que rutas manipuladas escapen del directorio seguro.
• CVE-2023-39332: en el modelo experimental de permisos de Node.js, varias funciones de node:fs permiten rutas especificadas como Uint8Array en lugar de Buffer o cadena, lo que no estaba correctamente controlado y habilita path traversal.
• CVE-2025-55754: en Apache Tomcat hay una vulnerabilidad de neutralización inadecuada de secuencias de escape ANSI en los mensajes de log. Al ejecutarse la consola en Windows y aceptar estas secuencias, un atacante podría inyectar comandos o manipular el portapapeles u otros efectos de consola.
• CVE-2025-55315: en ASP.NET Core se identificó una vulnerabilidad de interpretación inconsistente de peticiones HTTP. Un atacante autorizado podría evadir funciones de seguridad de red.
• CVE-2025-24293: en Ruby on Rails se permitían métodos de transformación de imágenes potencialmente inseguros al aceptar directamente la entrada del usuario, lo que posibilita la inyección de comandos al procesar imágenes con mini_magick.

CVE-2022-46337: falta de verificación de la entrada controlada por el usuario, lo que conduce a problemas de inyección de código que, en caso de ser explotado permitiría llenar el disco creando bases de datos basura, ejecutar malware visible y ejecutable por la cuenta que inició el servidor Derby, ver y corromper datos confidenciales y ejecutar funciones confidenciales de la base de datos.