Departamento de Bienestar, Juventud y Reto Demográfico

Apoyos para la Vida Plena

Departamento de Bienestar, Juventud y Reto Demográfico

Vulnerabilidades en Plataforma Virtualizada de Gestión de Información de Telecomunicaciones de HPE (vTeMIP)

Fecha de publicación: 

Resumen ejecutivo

HPE ha identificado múltiples vulnerabilidades críticas en su plataforma HPE Virtualized Telecommunication Management Information Platform (vTeMIP), específicamente en el módulo sqlite3, que afectan a la versión 8.5.0. Estos fallos podrían permitir ataques de denegación de servicio (DoS), corrupción de memoria y desbordamiento de búfer. Con puntuaciones CVSS de hasta 9.8 (CVE-2025-3277 y CVE-2025-6965), lo que indica un riesgo elevado de compromiso de confidencialidad, integridad y disponibilidad. HPE ha publicado parches correctivos para mitigar estas vulnerabilidades, recomendando su aplicación inmediata para reducir el impacto potencial.

Recursos afectados

  • HPE Virtualized Telecommunication Management Information Platform (vTeMIP) 8.5.0

Análisis técnico

  • CVE-2025-3277: Se ha identificado una vulnerabilidad de desbordamiento de entero en la función `concat_ws()` de SQLite. Esto permite que un desbordamiento de búfer en la memoria heap, de alrededor de 4 GB, cause la ejecución de código arbitrario. Para explotar esta vulnerabilidad, se requiere un entero truncado que no se maneja adecuadamente al asignar un búfer.
    • CWE-190
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-6965: Se ha identificado una vulnerabilidad en SQLite versiones anteriores a la 3.50.2, donde se permite que el número de términos agregados supere el número de columnas disponibles, lo que puede resultar en corrupción de memoria. Esto podría permitir que un atacante cause fallos en el sistema o ejecute código malicioso. Para mitigar el riesgo, se recomienda actualizar a la versión 3.50.2 o superior.
    • CWE-197
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2022-21227: La vulnerabilidad del paquete sqlite3 en versiones anteriores a 5.0.3 permite una Denegación de Servicio (DoS) al invocar la función toString con un parámetro incorrecto. Esto puede resultar en la interrupción del motor V8. Para explotar esta falla, se debe enviar un objeto Function no válido.
    • CWE N/A
    • CVSS: 7.5 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • Explotación: No detectada

Mitigación / Solución

HPE recomienda actualizar a la versión correspondiente de HPE vTeMIP 8.5.0 o versiones posteriores para resolver las vulnerabilidades identificadas. Las actualizaciones específicas incluyen: TEMIPTPP850-00003, TEMIPSTM850-00004 y TEMIPTFR850-00014.

Referencias adicionales