CVE-2025-14700
Improper Neutralization of Special Elements Used in a Template Engine in Crafty Controller
En resumen
Un fallo en la característica de webhook de Crafty Controller permite que usuarios autenticados inyecten código malicioso a través de plantillas, ejecutando comandos en el servidor de forma remota.
Detalle técnico
Vulnerabilidad CWE-1336 en el componente Webhook Template que no neutraliza apropiadamente la entrada del usuario antes del procesamiento de plantillas. Un atacante autenticado puede inyectar directivas maliciosas de plantilla para lograr ejecución remota de código en el sistema afectado.
Resumen generado y traducido por IA a partir de la descripción oficial.
An input neutralization vulnerability in the Webhook Template component of Crafty Controller allows a remote, authenticated attacker to perform remote code execution via Server Side Template Injection.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Arcadia Technology, LLC · Crafty ControllerPoCs públicas encontradas — 2
githubgithub.com/Nosiume/CVE-2025-14700-poc★ 1githubgithub.com/secdongle/POC_CVE-2025-14700★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →