ISGroup Consultoría de Ciberseguridad

CVE-2025-4008 – Inyección de comandos – Meteobridge VM & Firmware

La interfaz web de Meteobridge permite al administrador del sistema gestionar la recopilación de datos de la estación meteorológica y administrar su sistema a través de una aplicación web escrita en scripts de shell CGI y C. CVE-2025-4008 permite a atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios elevados (root) en los dispositivos vulnerables. Con casos de explotación ya confirmados y la inclusión de la vulnerabilidad en el catálogo de vulnerabilidades explotadas de la CISA, es fundamental aplicar inmediatamente los parches disponibles.

Fecha2025-10-08 08:54:12
Información
  • Tendencia
  • Parche disponible

Resumen técnico

CVE-2025-4008 es una falla de inyección de comandos que afecta a las versiones de Meteobridge VM y Firmware hasta la versión 6.2 excluida. La vulnerabilidad se encuentra específicamente en el endpoint /public/template.cgi (accesible también a través de /public/template.cgi), un script de shell CGI que gestiona de forma inadecuada las entradas del usuario. El script analiza entradas controlables por el usuario desde la variable $QUERY_STRING y las utiliza sin saneamiento en una llamada eval, permitiendo la inyección de comandos arbitrarios desde la línea de comandos. Aunque la autenticación es aplicada por uhttpd para directorios como cgi-bin, el script vulnerable también es accesible a través del directorio public, el cual no está protegido, permitiendo así la explotación sin autenticación.

  • Ejemplo básico de exploit: La vulnerabilidad puede ser explotada enviando una solicitud GET, pasando comandos maliciosos a través del parámetro templatefile, por ejemplo: /public/template.cgi?templatefile=$(command)

Recomendaciones

  1. Aplicar el parche de inmediato: actualizar Meteobridge a la Versión 6.2 (lanzada el 13 de mayo de 2025) o posterior.
  2. Aislar y deshabilitar el acceso remoto: deshabilitar el acceso remoto a Meteobridge.
  3. Actividades de detección y monitoreo: realizar auditorías para detectar anomalías y analizar las solicitudes hacia el endpoint /cgi-bin/template.cgi.

[Callforaction-THREAT-Footer]

In