Se han descubierto vulnerabilidades de severidad crítica y alta en productos Progress Software. Un actor malicioso podría acceder a información confidencial, realizar la lectura de archivos arbitrarios o comprometer la integridad de secretos almacenados en los sistemas afectados.
Productos afectados
OpenEdge:
- Versiones 12.2.x anteriores a 12.2.19.
- Versiones 12.8.x anteriores a 12.8.11.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-8095: con una puntuación de 9.1 en CVSS v4.0. Existe una vulnerabilidad de almacenamiento de contraseñas de forma recuperable debido al uso de codificación OECH1 criptográficamente débil. Un actor malicioso remoto podría explotar esta debilidad para descifrar valores ofuscados, lo que compromete la confidencialidad e integridad de secretos y credenciales almacenadas en la plataforma.
CVE-2025-7389: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de acceso a archivos a través de un componente externo en el componente AdminServer. Un actor malicioso remoto y autenticado podría abusar de los métodos setFile() y openFile() expuestos mediante la interfaz RMI para realizar la lectura de archivos arbitrarios en el sistema host utilizando los privilegios elevados del proceso AdminServer.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias