Dell ha lanzado una actualización de seguridad para PowerProtect Cyber Recovery. Esta aborda múltiples vulnerabilidades en componentes de terceros.
Productos afectados
- Dell PowerProtect Cyber Recovery:
- Cyber Recovery Software, versiones anteriores a 19.20.0.1.
- Cyber Recovery SLES 15 SP4 OS Update cyber-recovery-osupdate-15.4.0-9.bin, versiones anteriores a 15.4.0-9.
- Cyber Recovery SLES 12 SP5 OS Update cyber-recovery-osupdate-1.5.0-63.bin, versiones anteriores a 1.5.0-63.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2024–45491: con una puntuación de 9.8 en CVSS v3.1. Se ha descubierto una vulnerabilidad en libexpat, versiones anteriores a 2.6.3. dtdCopy en xmlparse.c podría tener un desbordamiento de enteros para nDefaultAtts en plataformas de 32 bits (donde UINT_MAX es igual a SIZE_MAX). Un actor malicioso podría lograr la ejecución arbitraria de código.
CVE-2024–45492: con una puntuación de 9.8 en CVSS v3.1. Se ha descubierto una vulnerabilidad en libexpat, versiones anteriores a 2.6.3. nextScaffoldPart en xmlparse.c podría tener un desbordamiento de enteros para m_groupSize en plataformas de 32 bits (donde UINT_MAX es igual a SIZE_MAX). Un actor malicioso podría lograr la ejecución arbitraria de código.
CVE-2025-0838: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros. Un actor malicioso podría lograr la ejecución arbitraria de código.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/cve-2024-45491
- https://nvd.nist.gov/vuln/detail/cve-2024-45492
- https://nvd.nist.gov/vuln/detail/CVE-2025-0838
- https://www.dell.com/support/kbdoc/en-ca/000369807/dsa-2025-346-security-update-for-dell-powerprotect-cyber-recovery-multiple-third-party-component-vulnerabilities