De US Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een beveiligingsfout met een hoge ernst toegevoegd die van invloed is op SmartBedded Meteobridge aan de bekende uitgebuite catalogus van de Vulnerabilities (KEV), met betrekking tot het bewijs van actieve exploitatie.
De kwetsbaarheid, CVE-2025-4008 (CVSS -score: 8.7), is een geval van opdrachtinjectie in de meteobridge -webinterface die kan leiden tot code -uitvoering.
“SmartBedded Meteobridge bevat een kwetsbaarheid voor commando -injectie waarmee externe niet -geauthenticeerde aanvallers kan worden om willekeurige commando -uitvoering te krijgen met verhoogde privileges (root) op getroffen apparaten,” zei Cisa.
Volgens OneKey, die het probleem eind februari 2025 ontdekte en rapporteerde, laat de Meteobridge -webinterface een beheerder zijn gegevensverzameling van weerstations beheren en het systeem besturen via een webtoepassing geschreven in CGI Shell -scripts en C.
In het bijzonder stelt de webinterface een “sjabloon.cgi” -script bloot via “/cgi-bin/template.cgi,”, dat kwetsbaar is voor het bevelen van injectie die voortkomt uit het onzekere gebruik van evaloproepen, waardoor een aanvaller speciaal vervaardigde verzoeken kan leveren om een willekeurige code uit te voeren –
curl -i -u meteobridge: meteobridge
'https://192.168.88.138/cgi-bin/template.cgi?$(id>/tmp/a)=whatever'Bovendien zei OneKey dat de kwetsbaarheid kan worden benut door niet -geauthenticeerde aanvallers vanwege het feit dat het CGI -script in een openbare map wordt gehost zonder enige authenticatie te vereisen.
“Externe exploitatie via een kwaadaardige webpagina is ook mogelijk, omdat het een GET -verzoek is zonder enige vorm van aangepaste header- of tokenparameter,” merkte beveiligingsonderzoeker Quentin Kaiser in mei op. “Stuur gewoon een link naar uw slachtoffer en maak IMG -tags met de SRC -set op ‘https: //subnet.a/public/template.cgi? TemplateFile = $ (opdracht).'”
Er zijn momenteel geen openbare rapporten die verwijzen naar hoe CVE-2025-4008 in het wild wordt benut. De kwetsbaarheid werd behandeld in Meteobridge versie 6.2, uitgebracht op 13 mei 2025.
Ook toegevoegd door CISA aan de KEV -catalogus zijn vier andere fouten –
- CVE-2025-21043 (CVSS-score: 8.8)-Samsung Mobile Devices bevatten een buitenbruggen die kwetsbaarheid schrijft in libimagecodec.quram.so waarmee aanvallers op afstand willekeurige code kunnen uitvoeren.
- CVE-2017-1000353 (CVSS -score: 9.8) – Jenkins bevat een deserialisatie van niet -vertrouwde gegevenskwetsbaarheid die niet -geauthenticeerde externe code -uitvoering kan mogelijk maken, waarbij op denylist gebaseerde beschermingsmechanismen kan worden omzeild.
- CVE-2015-7755 (CVSS -score: 9.8) – Juniper Screenos bevat een onjuiste kwetsbaarheid voor authenticatie die ongeautoriseerde administratieve toegang tot externe toegang tot het apparaat mogelijk kan maken.
- CVE-2014-6278aka shellshock (CVSS -score: 8.8) – GNU BASH bevat een OS -kwetsbaarheid voor commando -injectie waarmee externe aanvallers willekeurige commando’s kunnen uitvoeren via een vervaardigde omgeving.
In het licht van actieve uitbuiting moeten federale civiele executive branch (FCEB) agentschappen de nodige updates vóór 23 oktober 2025 toepassen voor optimale bescherming.
