Resumen ejecutivo
Kaleris ha informado sobre 2 vulnerabilidades de severidades crítica y media que podrían permitir a un atacante explotar remotamente el sistema operativo, lograr la ejecución remota de código o extraer información confidencial.
Recursos afectados
- Navis N4: versiones anteriores a la 4.0.
Análisis técnico
Kaleris NAVIS N4 ULC (Cliente Ultraligero) contiene una vulnerabilidad crítica de deserialización de Java insegura. Un atacante no autenticado puede realizar solicitudes especialmente diseñadas para ejecutar código arbitrario en el servidor. Se ha asignado el identificador CVE-2025-2566 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-5087.
Mitigación / Solución
Kaleris recomienda a los usuarios actualizar a las siguientes versiones o posteriores:
- Navis N4: Versión 3.1.44+.
- Navis N4: Versión 3.2.26+.
- Navis N4: Versión 3.3.27+.
- Navis N4: Versión 3.4.25+.
- Navis N4: Versión 3.5.18+.
- Navis N4: Versión 3.6.14+.
- Navis N4: Versión 3.7.0+.
- Navis N4: Versión 3.8.0+.
En caso de no poder actualizar a las versiones correctoras indicadas, se recomienda seguir la medidas de mitigación descritas en el aviso oficial enlazado en referencias.