Múltiples vulnerabilidades 0day en QConvergeConsole de Marvell
QConvergeConsole de Marvell.
kimiya y Andrea Micalizzi (rgod) han descubierto un total de 4 vulnerabilidades de severidad crítica que, en caso de ser explotadas, permitirían a atacantes remotos, no autenticados, ejecutar código arbitrario en las instalaciones afectadas del producto.
El producto ya no dispone de mantenimiento al haber llegado al final de su vida útil (EoL) y al final de su soporte (EoS) en la versión 5.5.0.85.
Las vulnerabilidades son de severidad crítica y permiten a un atacante, no autenticado, ejecutar código como SYSTEM. Todas ellas se producen porque no se valida correctamente los datos proporcionados por el usuario, lo que deriva para las dos primeras vulnerabilidades en una deserialización de datos no confiables, para la tercera en la subida de ficheros arbitrarios y, en el caso de la última, lo que no se valida adecuadamente es la ruta proporcionada por el usuario antes de utilizarla en operaciones de archivo. Para cada identificador el método en el que se encuentra la vulnerabilidad es el siguiente:
- CVE-2025-6809: readNICParametersFromFile;
- CVE-2025-6808: readObjectFromConfigFile;
- CVE-2025-6802: getFileFromURL;
- CVE-2025-6794: saveAsText.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.