CVE-2026-25108
CVE-2026-25108
Vexday Risk Score
51Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.7EPSS 5.0%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
13 feb 2026Publicada en NVD
24 feb 2026Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
FileZen contiene una falla que permite a un usuario autenticado ejecutar comandos no autorizados en el servidor mediante solicitudes HTTP especialmente diseñadas cuando la verificación de Antivirus está habilitada. Esto permite que los atacantes tomen control del sistema.
Detalle técnico
Vulnerabilidad de inyección de comandos del SO (CWE-78) en la función Antivirus Check de FileZen permite que usuarios autenticados ejecuten comandos arbitrarios del sistema operativo a través de solicitudes HTTP maliciosas. La explotación requiere credenciales válidas de usuario y que la característica esté habilitada; el éxito resulta en ejecución de comandos con privilegios de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
FileZen contains an OS command injection vulnerability. When FileZen Antivirus Check Option is enabled, a logged-in user may send a specially crafted HTTP request to execute an arbitrary OS command.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
Soliton Systems K.K. · FileZen¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →