La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad de alta resistencia que afecta a Meteobridge en camas inteligentes en un catálogo de vulnerabilidad explotada (KEV) conocida, citando evidencia de explotación activa.
La vulnerabilidad, CVE-2025-4008 (puntaje CVSS: 8.7), es un caso de inyección de comando en la interfaz web de Meteobridge, que puede conducir a la ejecución del código.
«Meteobridge Smartbedded contiene una vulnerabilidad de inyección de comando que permite a los atacantes remotos y no autorizados obtener una ejecución de comando arbitraria con alto privilegio (raíz) en los dispositivos afectados», dijo CISA.
Según OneKey, que descubrió e informó este problema a fines de febrero de 2025, la interfaz web de Meteobridge permite a los administradores administrar y controlar la recopilación de datos del sistema a través de scripts y aplicaciones web de shell CGI escritas en C.
Específicamente, la interfaz web expone el script «Template.cgi» a través de «/cgi-bin/template.cgi». Esto es vulnerable a la inyección de comandos resultante del uso inestable de llamadas de evaluación, lo que permite a los atacantes proporcionar solicitudes especialmente escritas para ejecutar código arbitrario.
Curl -i -u meteobridge: meteobridge \ ‘https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a) = lo que sea’
Además, OneKey dijo que la vulnerabilidad podría ser explotada por atacantes no autenticados debido al hecho de que los guiones CGI están alojados en directorios públicos sin la necesidad de autenticación.
«La explotación remota a través de páginas web maliciosas también es posible, ya que es una solicitud GET sin encabezados personalizados o parámetros de token», dijo el investigador de seguridad Quentin Kaiser en mayo. «Simplemente envíe el enlace a la víctima, cree una etiqueta IMG usando el conjunto SRC y diga» https: //subnet.a/public/template.cgi? TemplateFile = $ (comando). ‘»
Actualmente, no hay informes públicos que se refieran a cómo se está abusando de CVE-2025-4008 en la naturaleza. La vulnerabilidad se abordó en Meteobridge versión 6.2, lanzada el 13 de mayo de 2025.
Además, otros cuatro defectos agregados al catálogo de KEV por CISA –
CVE-2025-21043 (puntaje CVSS: 8.8)-Los dispositivos móviles Samsung contienen vulnerabilidades fuera de libimageCodec.quram.so. CVE-2017-1000353 (puntaje CVSS: 9.8)-Jenkins incluye la necesidad de eliminar vulnerabilidades de datos no confiables que evitan los mecanismos de protección basados en denilistas para permitir la ejecución de código remoto despiadado. CVE-2015-7755 (puntaje CVSS: 9.8)-Juniper Schoursos contiene una vulnerabilidad de autenticación inapropiada que permite el acceso a la administración remota no autorizada a los dispositivos. CVE-2014-6278, también conocido como Shell Shock (puntaje CVSS: 8.8)-GNU Bash contiene una vulnerabilidad de inyección de comandos del sistema operativo que permite a los atacantes remotos ejecutar comandos arbitrarios a través del entorno en el que fueron creados.
A la luz de la explotación activa, se requiere una agencia federal de la División de Control de Control privada (FCEB) para aplicar las actualizaciones necesarias antes del 23 de octubre de 2025 para una protección óptima.
Source link
