Redazione RHC : 22 julio 2025 07:36
Sophos anunció recientemente las correcciones para cinco vulnerabilidades de seguridad independientes encontradas en sus firewalls, algunas críticas y otras de nivel alto y medio. Las vulnerabilidades se han corregido mediante parches distribuidos automáticamente, sin necesidad de intervención del cliente, siempre que la opción «Permitir la instalación automática de parches» esté activada por defecto en las versiones afectadas.
Entre las vulnerabilidades corregidas, destacan dos fallos críticos: el primero (CVE-2025-6704) implica la escritura arbitraria de archivos en la función Secure PDF eXchange (SPX), lo que podría permitir la ejecución remota de código antes de la autenticación en ciertas configuraciones en modo de alta disponibilidad (HA). El segundo (CVE-2025-7624) es una inyección SQL en el proxy SMTP heredado que, cuando se combina con una política de cuarentena de correo electrónico y una actualización de versiones anteriores a 21.0 GA, también puede provocar la ejecución remota de código. Ambos fueron reportados responsablemente por investigadores externos a través del programa de recompensas por errores de Sophos.
| Identificación de CVE | Descripción | Gravedad |
|---|---|---|
| CVE-2025-6704 | Una vulnerabilidad de escritura arbitraria en archivos en la función Secure PDF eXchange (SPX) puede provocar la ejecución remota de código con preautorización si se habilita una configuración específica de SPX junto con el firewall en modo de alta disponibilidad (HA). El problema, que afecta aproximadamente al 0,05 % de los dispositivos, fue descubierto e informado de manera responsable a Sophos por un investigador de seguridad externo a través del programa de recompensas por errores de Sophos. | CRÍTICO |
| CVE-2025-7624 | Una vulnerabilidad de inyección SQL en el proxy SMTP heredado (transparente) podría provocar la ejecución remota de código si hay una política de cuarentena de correo electrónico en vigor y SFOS se ha actualizado desde una versión anterior a la 21.0 GA. El problema, que afecta hasta el 0,73 % de los dispositivos, fue descubierto e informado de manera responsable a Sophos por un investigador de seguridad externo a través del programa de recompensas por errores de Sophos. | CRÍTICO |
| CVE-2025-7382 | Una vulnerabilidad de inyección de comandos en WebAdmin podría permitir a atacantes adyacentes ejecutar código de preautenticación en dispositivos auxiliares de alta disponibilidad (HA) si está habilitada la autenticación de un solo uso para el usuario administrador. El problema, que afecta aproximadamente al 1% de los dispositivos, fue descubierto e informado responsablemente a Sophos por un investigador de seguridad externo a través del programa de recompensas por errores de Sophos. | ALTO |
| CVE-2024-13974 | Una vulnerabilidad en la lógica de negocio del componente Up2Date podría permitir a los atacantes controlar el entorno DNS del firewall para la ejecución remota de código. El problema fue descubierto e informado responsablemente a Sophos por un investigador de seguridad externo. Sophos agradece al Centro Nacional de Ciberseguridad del Reino Unido (NCSC) por informar responsablemente de este problema a Sophos. | ALTO |
| CVE-2024-13973 | Una vulnerabilidad de inyección SQL posterior a la autenticación en WebAdmin podría permitir a los administradores ejecutar código arbitrario. El problema fue descubierto e informado de manera responsable a Sophos por un investigador de seguridad externo. Sophos agradece al Centro Nacional de Ciberseguridad del Reino Unido (NCSC) por informar responsablemente de este problema a Sophos. | MEDIO |
Otras vulnerabilidades incluyen CVE-2025-7382, una inyección de comandos en WebAdmin que podría permitir a los atacantes de la red local ejecutar código antes de la autenticación en dispositivos de alta disponibilidad con OTP. habilitado, y CVE-2024-13974, una falla de lógica de negocio en el componente Up2Date que permite a los atacantes controlar el entorno DNS del firewall para la ejecución remota de código. Finalmente, CVE-2024-13973 es una inyección SQL posterior a la autenticación que podría provocar que un administrador autenticado ejecute código arbitrario. Este problema se considera de gravedad media.
Se han publicado correcciones para varias versiones del firewall. Por ejemplo, las revisiones para CVE-2025-6704 se publicaron el 24 de junio de 2025 para versiones como 19.0 MR2, 20.0 MR2, 21.0 GA y 21.5 GA, mientras que otras vulnerabilidades recibieron actualizaciones distribuidas entre enero y julio de 2025. Para las vulnerabilidades CVE-2024-13974 y CVE-2024-13973, se incluyeron correcciones a partir de la versión 21.0 MR1. Se recomienda a los usuarios de versiones anteriores que actualicen para mantener el máximo nivel de protección.
Para confirmar que las revisiones se han aplicado correctamente, Sophos recomienda consultar la guía disponible en su portal de soporte (KBA-000010589). La empresa agradeció a los investigadores externos y al Centro Nacional de Ciberseguridad (NCSC) del Reino Unido por sus informes de vulnerabilidades responsables, y reiteró la importancia de la colaboración para fortalecer continuamente la seguridad de sus productos.
RedazioneRecientemente analizamos una vulnerabilidad crítica de día cero, CVE-2025-53770, en Microsoft SharePoint Server, que evita la falla de seguridad anterior CVE-2025-49706. Ya se sabía ent...
Sophos anunció recientemente las correcciones para cinco vulnerabilidades de seguridad independientes encontradas en sus firewalls, algunas críticas y otras de nivel alto y medio. Las vulner...
En el artículo anterior sobre Gestión de Parches, comenzamos a hablar de 4 pilares fundamentales en el mundo de la Ciberseguridad. Estos cuatro pilares son la Gestión de Parches, el End...
«En el bosque oscuro del mundo digital» (como diría hoy Dante Alighieri), la ciberseguridad se ha convertido en una prioridad absoluta para empresas de todos los tamaños. Los ataqu...
Se ha descubierto una falla de seguridad crítica relacionada con la corrupción de memoria en el popular archivador 7-Zip. Esta vulnerabilidad puede ser explotada por atacantes para causar co...
Para más información: [email protected]
