La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el jueves adicional una falla de seguridad de alta gravedad que afecta a Smartbedded Meteobridge y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.
La vulnerabilidad, CVE-2025-4008 (puntuación CVSS: 8.7), es un caso de inyección de comandos en la interfaz web de Meteobridge que podría provocar la ejecución de código.
«Smartbedded Meteobridge contiene una vulnerabilidad de inyección de comandos que podría permitir a los atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios elevados (root) en los dispositivos afectados», afirma la CISA.
Según ONEKEY, que descubierto y denunciado El problema a finales de febrero de 2025, la interfaz web de Meteobridge permite a un administrador gestionar la recopilación de datos de su estación meteorológica y controlar el sistema a través de una aplicación web escrita en scripts de shell CGI y C.
Concretamente, la interfaz web expone un script "template.cgi" a través de "/cgi-bin/template.cgi», que es vulnerable a la inyección de comandos derivada del uso inseguro de las llamadas de evaluación, lo que permite a un atacante enviar solicitudes especialmente diseñadas para ejecutar código arbitrario -
curl -i -u meteobridge: meteobridge\
'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'Además, ONEKEY dijo que la vulnerabilidad puede ser explotada por atacantes no autenticados debido a que el script CGI está alojado en un directorio público sin necesidad de autenticación.
«La explotación remota a través de una página web maliciosa también es posible, ya que se trata de una solicitud GET sin ningún tipo de encabezado personalizado o parámetro de token», señaló el investigador de seguridad Quentin Kaiser en mayo. «Solo tienes que enviar un enlace a la víctima y crear etiquetas img con el src establecido en 'https://subnet.a/public/template.cgi?templatefile=$(command)'».
Actualmente no hay informes públicos que hagan referencia a cómo se explota el CVE-2025-4008 en estado salvaje. La vulnerabilidad era dirigido en la versión 6.2 de Meteobridge, publicada el 13 de mayo de 2025.
La CISA también ha agregado al catálogo de KEV otros cuatro defectos:
- CVE-2025-21043 (Puntuación CVSS: 8,8): los dispositivos móviles Samsung contienen una vulnerabilidad de escritura fuera de los límites en libimagecodec.quram.so que podría permitir a los atacantes remotos ejecutar código arbitrario.
- CVE-2017-1000353 (Puntuación CVSS: 9,8): Jenkins contiene una vulnerabilidad de deserialización de datos no confiables que podría permitir la ejecución remota de código sin autenticar, evitando los mecanismos de protección basados en listas de denegación.
- CVE-2015-7755 (Puntuación CVSS: 9,8): Juniper ScreenOS contiene una vulnerabilidad de autenticación inadecuada que podría permitir el acceso administrativo remoto no autorizado al dispositivo.
- CVE2014-6278 , también conocido como Conmoción de proyectiles (Puntuación CVSS: 8,8): GNU Bash contiene una vulnerabilidad de inyección de comandos del sistema operativo que podría permitir a los atacantes remotos ejecutar comandos arbitrarios a través de un entorno diseñado.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias antes del 23 de octubre de 2025 para una protección óptima.