Plataforma
java
Componente
net.sf.robocode:robocode.core
Corregido en
1.9.4
1.9.5.6
Se ha descubierto una vulnerabilidad de Directory Traversal en el componente CacheCleaner de Robocode Core, versiones hasta la 1.9.5.5. Esta falla permite a un atacante, mediante la manipulación de rutas de archivos, eliminar archivos arbitrarios del sistema. La vulnerabilidad reside en la función recursivelyDelete, que no sanitiza correctamente las rutas de los archivos. Se recomienda actualizar a la versión 1.9.5.6 para mitigar este riesgo.
La vulnerabilidad de Directory Traversal en Robocode Core permite a un atacante con acceso al sistema, o a través de una interfaz vulnerable, eliminar archivos críticos del sistema. Esto podría resultar en la pérdida de datos, la interrupción del servicio o incluso la toma de control del sistema. Un atacante podría, por ejemplo, eliminar archivos de configuración esenciales para el funcionamiento de Robocode o incluso archivos del sistema operativo, dependiendo de los permisos del usuario bajo el cual se ejecuta Robocode. La severidad CRÍTICA indica un alto riesgo de explotación y un impacto significativo en la confidencialidad, integridad y disponibilidad del sistema.
Actualmente, no se han reportado casos de explotación activa de CVE-2025-14306. La vulnerabilidad ha sido publicada el 2025-12-09. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Robocode users, particularly those utilizing older versions (≤1.9.5.5), are at risk. This includes educational institutions using Robocode for programming instruction, as well as individuals or organizations using Robocode for automated trading or other applications where file system access is required. Shared hosting environments where Robocode is installed could also be affected if the underlying system is vulnerable.
• java: Monitor Robocode process for unusual file deletion activity using system monitoring tools. • java: Examine Robocode logs for suspicious file path manipulation attempts. • generic web: If Robocode is exposed via a web interface, monitor access logs for requests containing unusual file path parameters. • generic web: Check for unexpected files appearing in the Robocode cache directory.
Public Disclosure
Estado del Exploit
EPSS
0.58% (69% percentil)
CISA SSVC
La mitigación principal para CVE-2025-14306 es actualizar Robocode Core a la versión 1.9.5.6, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir los permisos del usuario bajo el cual se ejecuta Robocode para limitar el acceso a archivos sensibles. Además, se debe implementar una validación estricta de las rutas de los archivos antes de pasarlas a la función recursivelyDelete, asegurando que no contengan caracteres especiales o secuencias que permitan la navegación a directorios superiores (..). Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la función recursivelyDelete ahora valida correctamente las rutas de los archivos.
Actualizar Robocode a una versión posterior a 1.9.3.6 que corrija la vulnerabilidad de recorrido de directorios. Consultar el repositorio del proyecto o el sitio web oficial para obtener la última versión y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-14306 is a critical directory traversal vulnerability in Robocode Core versions up to 1.9.5.5, allowing attackers to delete files.
You are affected if you are using Robocode Core version 1.9.5.5 or earlier. Upgrade to 1.9.5.6 to resolve the issue.
Upgrade Robocode Core to version 1.9.5.6 or later. Restrict Robocode process permissions as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the Robocode project's official website and release notes for the latest advisory regarding CVE-2025-14306.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.