CVE-2025-34300
Sawtooth Software Lighthouse Studio < 9.16.14 Pre-Authentication RCE
En resumen
Sawtooth Software Lighthouse Studio tiene un fallo que permite a cualquiera en internet ejecutar comandos en el servidor sin necesidad de contraseña. Esto es extremadamente peligroso porque los atacantes pueden tomar control total del sistema.
Detalle técnico
Una vulnerabilidad de inyección de plantillas en la aplicación Perl ciwweb.pl permite ejecución remota de código sin autenticación. El vector de ataque son solicitudes HTTP a la interfaz web; no hay precondiciones de autenticación requeridas. La explotación exitosa resulta en ejecución arbitraria de comandos con privilegios del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
A template injection vulnerability exists in Sawtooth Software’s Lighthouse Studio versions prior to 9.16.14 via the ciwweb.pl http://ciwweb.pl/ Perl web application. Exploitation allows an unauthenticated attacker can execute arbitrary commands.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Productos afectados
Sawtooth Software · Lighthouse StudioPoCs públicas encontradas — 1
githubgithub.com/jisi-001/CVE-2025-34300POC★ 1⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio/version-historyhttps://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/https://www.vulncheck.com/advisories/sawtooth-software-lighthouse-studio-preauthentication-rce