La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el jueves agregado Un defecto de seguridad de alta severidad que impacta el meteobridge inteligente a sus vulnerabilidades explotadas conocidas (Kev) catálogo, citando evidencia de explotación activa.
La vulnerabilidad, CVE-2025-4008 (Puntuación CVSS: 8.7), es un caso de inyección de comandos en la interfaz web de Meteobridge que podría resultar en la ejecución del código.
«Meteobridge Smartbedded contiene una vulnerabilidad de inyección de comando que podría permitir a los atacantes remotos no autenticados obtener una ejecución de comando arbitraria con privilegios elevados (raíz) en los dispositivos afectados», dijo CISA.
Según OneKey, que descubierto e informado El problema a fines de febrero de 2025, la interfaz web de Meteobridge le permite a un administrador administrar la recopilación de datos de su estación meteorológica y controlar el sistema a través de una aplicación web escrita en scripts de shell CGI y C.
Específicamente, la interfaz web expone un «script.cgi» script a través de «/cgi-bin/template.cgi», que es vulnerable a la inyección de comandos derivadas del uso inseguro de las llamadas EVAL.
curl -i -u meteobridge: meteobridge \
'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'Además, OneKey dijo que la vulnerabilidad puede ser explotada por atacantes no autenticados debido al hecho de que el script CGI está alojado en un directorio público sin requerir ninguna autenticación.
«La explotación remota a través de una página web maliciosa también es posible, ya que es una solicitud GET sin ningún tipo de encabezado o parámetro de token personalizado», señaló el investigador de seguridad Quentin Kaiser en mayo. «Simplemente envíe un enlace a su víctima y cree etiquetas IMG con el SRC establecido en 'https: //subnet.a/public/template.cgi? TemplateFile = $ (comando).'»
Actualmente no hay informes públicos que hacen referencia a cómo se está explotando CVE-2025-4008 en la naturaleza. La vulnerabilidad fue dirigido en Meteobridge versión 6.2, lanzado el 13 de mayo de 2025.
También agregados por CISA al catálogo de KEV hay otros cuatro defectos –
- CVE-2025-21043 (Puntuación de CVSS: 8.8)-Los dispositivos móviles Samsung contienen una vulnerabilidad de escritura fuera de los límites en libimageCodec.quram.as que podrían permitir a los atacantes remotos ejecutar código arbitrario.
- CVE-2017-1000353 (Puntuación CVSS: 9.8) – Jenkins contiene una deserialización de la vulnerabilidad de datos no confiable que podría permitir la ejecución de código remoto no autenticada, evitando los mecanismos de protección basados en denylistas.
- CVE-2015-7755 (Puntuación CVSS: 9.8) – Los screenos de enebro contienen una vulnerabilidad de autenticación inadecuada que podría permitir el acceso administrativo remoto no autorizado al dispositivo.
- CVE-2014-6278también conocido como Neurosis de guerra (Puntuación CVSS: 8.8) – GNU Bash contiene una vulnerabilidad de inyección de comandos del sistema operativo que podría permitir a los atacantes remotos ejecutar comandos arbitrarios a través de un entorno diseñado.
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las actualizaciones necesarias antes del 23 de octubre de 2025, para una protección óptima.
Fuente