La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el jueves un defecto de seguridad de reincorporación severidad que impacta el Meteobridge de Smartbedded a su catálogo de vulnerabilidades explotadas (KEV) conocidas, citando evidencia de explotación activa.
La vulnerabilidad, CVE-2025-4008 (Puntuación CVSS: 8.7), es un caso de inyección de comandos en la interfaz web de Meteobridge que podría resultar en la ejecución del código.
“Meteobridge Smartbedded contiene una vulnerabilidad de inyección de comando que podría permitir a los atacantes remotos no autenticados obtener una ejecución de comando arbitraria con privilegios elevados (raíz) en los dispositivos afectados”, dijo CISA.
Según OneKey, que descubrió e informó el problema a fines de febrero de 2025, la interfaz web de Meteobridge permite a un administrador regir sus datos de la temporada meteorológica compendiar y controlar el sistema a través de una aplicación web escrita en scripts de shell CGI y C.
Específicamente, la interfaz web expone un “script.cgi” script a través de “/cgi-bin/template.cgi”, que es débil a la inyección de comandos derivadas del uso inseguro de las llamadas EVAL.
curl -i -u meteobridge: meteobridge
'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'Adicionalmente, OneKey dijo que la vulnerabilidad puede ser explotada por atacantes no autenticados adecuado al hecho de que el script CGI está alojado en un directorio manifiesto sin requerir ninguna autenticación.
“La explotación remota a través de una página web maliciosa asimismo es posible, ya que es una solicitud GET sin ningún tipo de encabezado o parámetro de token personalizado”, señaló el investigador de seguridad Quentin Kaiser en mayo. “Simplemente envíe un enlace a su víctima y cree etiquetas IMG con el SRC establecido en ‘https: //subnet.a/public/template.cgi? TemplateFile = $ (comando).'”
Actualmente no hay informes públicos que hacen remisión a cómo se está explotando CVE-2025-4008 en la naturaleza. La vulnerabilidad se abordó en Meteobridge interpretación 6.2, lanzazo el 13 de mayo de 2025.
Además agregados por CISA al catálogo de KEV hay otros cuatro defectos –
- CVE-2025-21043 (Puntuación de CVSS: 8.8)-Los dispositivos móviles Samsung contienen una vulnerabilidad de escritura fuera de los límites en libimageCodec.quram.as que podrían permitir a los atacantes remotos ejecutar código injusto.
- CVE-2017-1000353 (Puntuación CVSS: 9.8) – Jenkins contiene una deserialización de la vulnerabilidad de datos no confiable que podría permitir la ejecución de código remoto no autenticada, evitando los mecanismos de protección basados en denylistas.
- CVE-2015-7755 (Puntuación CVSS: 9.8) – Los screenos de enebro contienen una vulnerabilidad de autenticación inadecuada que podría permitir el ataque funcionario remoto no calificado al dispositivo.
- CVE-2014-6278asimismo conocido como Shellshock (puntaje CVSS: 8.8) – GNU Bash contiene una vulnerabilidad de inyección de comandos del sistema activo que podría permitir a los atacantes remotos ejecutar comandos arbitrarios a través de un entorno diseñado.
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las actualizaciones necesarias antaño del 23 de octubre de 2025, para una protección óptima.
