Se ha descubierto una vulnerabilidad de severidad crítica en HPE Telco Service Activator. Un actor malicioso remoto podría omitir las restricciones de acceso y obtener acceso no autorizado a los sistemas afectados mediante la manipulación de encabezados HTTP.
Productos afectados
- HPE Telco Service Activator, versiones anteriores a 10.5.0.
- Aplicaciones Java que utilicen el núcleo del servidor HTTP Undertow.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-12543: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada incorrecta en el núcleo del servidor HTTP Undertow. Un actor malicioso remoto no autenticado podría enviar solicitudes HTTP con un encabezado de «Host» malformado para eludir los controles de seguridad, permitiendo realizar escaneos de red interna, envenenamiento de caché o secuestro de sesiones de usuario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias