Se identificaron múltiples vulnerabilidades en Dell PowerProtect Cyber Recovery. Un actor malicioso podría explotar algunas de estas vulnerabilidades para comprometer el sistema afectado.
Proveedoresafectados
- PowerProtect Cyber Recovery, versiones anteriores a la 19.20
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-27363: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de escritura fuera de límites en las versiones 2.13.0 y anteriores de FreeType al intentar analizar estructuras de subglifos de fuentes relacionadas con TrueType GX y archivos de fuentes variables.
CVE-2025-24855: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de uso después de la liberación en numbers.c de libxslt anterior a la versión 1.1.43.
CVE-2025-27220: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio de expresión regular (ReDoS) en el método Util#escapeElement.
CVE-2025-22869: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en los protocolos de transferencia de archivos, lo que podría producir un ataque de denegación de servicio por parte de actores maliciosos que completan el intercambio de clave lentamente o no lo completan, lo que provoca que el contenido pendiente se lea en la memoria, pero nunca se transmita.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/cve-2025-24855
- https://nvd.nist.gov/vuln/detail/CVE-2025-27363
- https://nvd.nist.gov/vuln/detail/CVE-2025-27220
- https://nvd.nist.gov/vuln/detail/cve-2025-22869
- https://www.dell.com/support/kbdoc/en-us/000337700/dsa-2025-267-security-update-for-dell-powerprotect-cyber-recovery-multiple-third-party-component-vulnerabilities