CVE-2024-25724

RTI Connext Professional, versões 5.3.1 a 6.1.0

Um estouro de buffer na análise de XML do Serviço de Roteamento, Serviço de Gravação, Serviço de Fila e Serviço de Descoberta na Nuvem permite que invasores executem código com os privilégios do serviço afetado, comprometam a integridade do serviço, vazem informações confidenciais ou causem a falha do serviço. Esses ataques podem ser realizados por meio de uma mensagem RTPS maliciosa remota; uma chamada comprometida com parâmetros maliciosos para as APIs públicas RTI RoutingService new, rti::recording::Service, RTI QueuingService new ou RTI CDS Service new; ou um sistema de arquivos local comprometido contendo um arquivo XML malicioso.

Para as versões 5.3.1 a 6.1.0 do RTI Connext Professional, atualize para a versão 6.1.1 para se proteger contra possíveis execuções de código e vazamentos de informações. Como solução temporária, considere restringir o acesso aos serviços vulneráveis até que a atualização seja aplicada. Evite usar parâmetros maliciosos nas APIs públicas afetadas até que o problema seja resolvido.