CVE-2025-4008
Arbitrary Command Injection in Smartbedded MeteoBridge
En resumen
La interfaz web del Meteobridge, utilizada para gestionar estaciones meteorológicas, tiene una falla que permite a atacantes ejecutar comandos en el dispositivo sin iniciar sesión. Esto otorga al atacante control total sobre todo el sistema.
Detalle técnico
Un endpoint de la interfaz web basada en CGI del Meteobridge es vulnerable a inyección de comandos del sistema operativo (CWE-77) debido a la falta de validación adecuada de entrada. Atacantes no autenticados pueden explotar esta falla para ejecutar comandos arbitrarios con privilegios de root, eludiendo mecanismos de autenticación (CWE-306), lo que resulta en el compromiso completo del dispositivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Meteobridge web interface let meteobridge administrator manage their weather station data collection and administer their meteobridge system through a web application written in CGI shell scripts and C.
This web interface exposes an endpoint that is vulnerable to command injection.
Remote unauthenticated attackers can gain arbitrary command execution with elevated privileges ( root ) on affected devices.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
Smartbedded · MeteoBridge¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →