La corrección de Dell Enterprise SONiC está disponible para múltiples vulnerabilidades de seguridad que podrían ser explotadas por actores maliciosos para comprometer el sistema afectado.
Proveedores afectados
- Versiones anteriores a la 4.5.0
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2024-3596: con una puntuación de 9.0 en CVSS v3.1. El protocolo RADIUS bajo RFC 2865 es susceptible a ataques de falsificación por parte de un actor malicioso local que puede modificar cualquier respuesta válida a cualquier otra respuesta utilizando un ataque de colisión de prefijo elegido contra la firma del autenticador de respuesta MD5.
CVE-2025-24928: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en pila en libxml2 al realizar la validación de DTD para un documento o DTD no confiable.
CVE-2025-27113: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de desreferencia de puntero NULL en libxml2.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/cve-2024-3596
- https://nvd.nist.gov/vuln/detail/CVE-2025-24928
- https://nvd.nist.gov/vuln/detail/CVE-2025-27113
- https://www.dell.com/support/kbdoc/en-us/000340083/dsa-2025-275-security-update-for-dell-enterprise-sonic-distribution-vulnerabilities