Los investigadores de ciberseguridad han revelado múltiples defectos de seguridad en la interpretación específico del software SYSAID IT Support que podrían explotarse para alcanzar la ejecución de código remoto preautenticado con privilegios elevados.
Las vulnerabilidades, rastreadas como CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777, se han descrito como inyecciones de entidad externa XML (XXE), que ocurren cuando un atacante puede interferir con éxito con la parsación de entrada XML de una aplicación.
Esto, a su vez, podría permitir a los atacantes inyectar entidades XML inseguras en la aplicación web, lo que les permite realizar un ataque de falsificación de solicitud del banda del servidor (SSRF) y, en los peores casos, la ejecución del código remoto.
Es la venidero descripción de las tres vulnerabilidades, según los investigadores de WatchToWr Labs, Sina Kheirkhah y Jake Knott.
- CVE-2025-2775 y CVE-2025-2776-Un XXE preautenticado en el interior del punto final /MDM /Checkin
- CVE-2025-2777-Un XXE preautenticado en el interior del punto final /LSHW
WatchToWr Labs describió las vulnerabilidades como triviales para explotar por medio de una solicitud de publicación HTTP especialmente elaborada a los puntos finales en cuestión.
La explotación exitosa de los defectos podría permitir a un atacante recuperar archivos locales que contienen información confidencial, incluido el propio archivo “initaccount.cmd” de Sysaid, que contiene información sobre el nombre de agraciado de la cuenta de administrador y la contraseña de texto sin formato creado durante la instalación.
Armado con esta información, el atacante podría obtener llegada funcionario completo a SYSAID como agraciado privilegiado por el administrador.
Para empeorar las cosas, las fallas XXE podrían estar encadenadas con otra vulnerabilidad de inyección de comando del sistema activo, descubierto por un tercero, para alcanzar la ejecución de código remoto. El problema de inyección de comando se ha asignado al identificador CVE CVE-2025-2778.
Sysaid ha rectificado las cuatro vulnerabilidades con el propagación de la interpretación 24.4.60 B16 a principios de marzo de 2025.
Con fallas de seguridad en SYSAID (CVE-2023-47246) previamente explotados por actores de ransomware como CL0P en ataques de día cero, es imperativo que los usuarios actualicen sus instancias a la última interpretación.
