Se ha publicado actualizaciones de seguridad para abordar dos vulnerabilidades de alta severidad en Flowmon de Progress Software. Un actor malicioso podría explotarlas para eludir las funciones de seguridad o ejecutar código de forma remota en los sistemas objetivo.
Productos afectados
- Progress Flowmon, versiones anteriores a la 12.5.5
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-10240: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad en la aplicación web de Flowmon antes de la versión 12.5.5 que podría permitir la ejecución de acciones no deseadas dentro de una sesión autenticada (XSS/CSRF).
CVE-2025-10239: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos en Flowmon antes de la versión 12.5.5. Un actor malicioso con privilegios administrativos podría ejecutar comandos adicionales no previstos a través de scripts de diagnóstico, logrando el control del sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-10240
- https://www.cve.org/CVERecord?id=CVE-2025-10239
- https://community.progress.com/s/article/CVE-2025-10239
- https://community.progress.com/s/article/Can-CVE-2025-10240-affect-Progress-Flowmon-appliance