Een ernstige beveiligingslek is ontdekt in ‘rosbag’, een onderdeel van het Robot Operating System (ROS), onder de CVE-2025-3753. Deze kwetsbaarheid, aanwezig in de versies Noetic Ninjemys en ouder, laat kwaadwillenden toe om willekeurige Python-code uit te voeren via gebrekkige invoer in het ‘rosbag filter’ commando.
Door de misbruik van de eval() functie wordt ongesaneerde gebruikersinvoer niet correct verwerkt, wat kan leiden tot objectinjectie en mogelijk volledige controle over uw systemen voor aanvallers.
Overzicht
De volgende versies van ROS zijn beïnvloed:
- Product: Robot Operating System (ROS)
- Pakketten: rosbag
- Versies: Noetic Ninjemys, Melodic Morenia, Kinetic Kame, Indigo Igloo
- Platformen: Linux, Windows, MacOS
Aanbevelingen
Alleen versies van ROS 1 worden niet langer ondersteund; upgrade naar een ROS 2 versie om de kwetsbaarheid te verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-3753?
Het betreft een code-uitvoeringskwetsbaarheid in de ‘rosbag’ tool van het Robot Operating System.
Welke systemen zijn kwetsbaar voor CVE-2025-3753?
ROS versies Noetic Ninjemys en ouder op Linux, Windows, en MacOS zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Het wordt aangeraden om een upgrade naar ROS 2 te maken als oplossing.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk willekeurige Python-code uitvoeren en daarmee controle krijgen over het systeem.
