Plataforma
python
Componente
ros/ros_comm
Se ha descubierto una vulnerabilidad de ejecución de código en la herramienta 'rosparam' del Robot Operating System (ROS). Esta falla se origina en el uso de la función eval() para procesar valores de parámetros proporcionados por el usuario y no validados, a través de convertidores especiales para representaciones de ángulos en radianes. La vulnerabilidad afecta a las distribuciones ROS Noetic Ninjemys y versiones anteriores. Se recomienda actualizar a una versión corregida o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para inyectar y ejecutar código Python arbitrario en el sistema donde se ejecuta 'rosparam'. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, o la interrupción de las operaciones del robot. La ejecución del código malicioso se logra manipulando los parámetros de entrada a 'rosparam' a través de los convertidores de ángulo, lo que permite eludir las protecciones estándar. La severidad de este impacto se agrava por la amplia adopción de ROS en entornos robóticos, donde la seguridad es crítica.
Esta vulnerabilidad ha sido publicada públicamente el 17 de julio de 2025. No se ha confirmado la explotación activa en entornos reales, pero la disponibilidad de la función eval() y la relativa facilidad de manipulación de los parámetros de entrada sugieren un riesgo potencial. Se recomienda monitorear activamente los sistemas ROS para detectar cualquier actividad sospechosa. La vulnerabilidad podría ser añadida al KEV catalog de CISA en el futuro.
Robotics researchers and developers using ROS Noetic Ninjemys or earlier are at significant risk. This includes organizations deploying ROS-based automation systems, particularly those in industrial, research, or educational settings. Shared ROS environments or those with limited security controls are especially vulnerable.
• python / ros:
import subprocess
result = subprocess.run(['rosparam', 'get', '/my_parameter'], capture_output=True, text=True)
print(result.stdout)Monitor the output for unexpected or malicious Python code being retrieved.
• python / ros: Check for unusual Python scripts being executed within the ROS environment using ps aux | grep python and examining the command-line arguments.
• python / ros: Review ROS configuration files for any custom converters that might be vulnerable to code injection.
• generic web: Monitor ROS API endpoints for unexpected requests or responses that might indicate exploitation.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión de ROS que haya corregido esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar o restringir el uso de los convertidores de ángulo afectados. Además, se debe validar y sanitizar rigurosamente todos los parámetros de entrada a 'rosparam' para evitar la inyección de código malicioso. Implementar una política de seguridad que limite los privilegios de la cuenta que ejecuta 'rosparam' también puede reducir el impacto de una posible explotación. Verifique la correcta aplicación de la actualización ejecutando 'rosparam get /<param_name>' con valores de entrada seguros y confirmando que no se ejecute código inesperado.
Actualice ROS a una versión posterior a Noetic Ninjemys. Si no es posible actualizar, evite usar la herramienta 'rosparam' con datos no confiables. Considere aplicar parches de seguridad si están disponibles para su distribución de ROS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-39289 is a code execution vulnerability in ROS 'rosparam' affecting Noetic Ninjemys and earlier versions. It allows attackers to execute arbitrary Python code through unsanitized user input.
If you are using ROS Noetic Ninjemys or an earlier version, you are potentially affected. Assess your environment and implement mitigations until a patched version is available.
Upgrade to a patched ROS distribution when available. Until then, implement strict input validation and consider using a WAF to filter malicious input.
While no active exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for future attacks. Monitor your systems closely.
Refer to the ROS security mailing list and the ROS wiki for updates and official advisories regarding CVE-2024-39289.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.