Se identificaron dos posibles vulnerabilidades de seguridad en el software HPE Telco Service Orchestrator. Estas vulnerabilidades podrían explotarse remotamente, provocando denegación de servicio y elusión de restricciones de acceso.
Productos afectados
- HPE Telco Service Orchestrator – Versión anterior a la v5.3.2
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-31651: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de secuencias de escape, metadatos o de control en Apache Tomcat. Una solicitud especialmente diseñada podría eludir algunas reglas de reescritura.
CVE-2025-31650: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en Apache Tomcat. Un gran número de solicitudes de HTTP no válidos podría generar una excepción OutOfMemoryException, lo que resulta en una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04872en_us&docLocale=en_US
https://nvd.nist.gov/vuln/detail/CVE-2025-31651
https://nvd.nist.gov/vuln/detail/CVE-2025-31650