Publicado: 2025-08-28 14:22
Vulnerabilidad
Arcserve
Se han identificado dos vulnerabilidades críticas en el software ArcServe Unified Data Protection (UDP). (1)
CVE-2025-34522 es una transmisión de búfer basada en el montón que puede ser utilizado por un atacante no autenticado para el código remoto o los bloqueos del servicio. (2)
CVE-2025-34523 es una vulnerabilidad separada, incluida esta transmisión de búfer basada en el montón y que puede usarse sin autenticación, con consecuencias correspondientes. (3)
Ambas vulnerabilidades se consideran críticas. Vulncheck ha clasificado tanto como 9.2 según CVSS 4.0. (2) (3)
Para Arcserve 8.0 a 10.1, la actualización de seguridad está disponible. La versión 7.x y anteriormente también son vulnerables, pero ya no se mantienen. (2) (3)
Productos afectados
Arcserve UDP, antes de la versión 10.2
Recomendaciones
CERT-SE recomienda que tan pronto como sea posible actualice productos vulnerables de acuerdo con las instrucciones del proveedor.
Fuentes
(1) https://support.arcserve.com/s/article/p00003546
(2) https://nvd.nist.gov/vuln/detail/cve-2025-34522
(3) https://nvd.nist.gov/vuln/detail/cve-2025-34523