CVE-2025-34300
Sawtooth Software Lighthouse Studio < 9.16.14 Pre-Authentication RCE
Em resumo
O Sawtooth Software Lighthouse Studio tem uma falha que permite qualquer pessoa na internet executar comandos no servidor sem precisar de senha. Isso é extremamente perigoso porque invasores podem tomar controle total do sistema.
Detalhe técnico
Uma vulnerabilidade de template injection na aplicação Perl ciwweb.pl permite execução remota de código sem autenticação. O vetor de ataque são requisições HTTP para a interface web; não há pré-condições de autenticação. A exploração bem-sucedida resulta em execução arbitrária de comandos com privilégios do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A template injection vulnerability exists in Sawtooth Software’s Lighthouse Studio versions prior to 9.16.14 via the ciwweb.pl http://ciwweb.pl/ Perl web application. Exploitation allows an unauthenticated attacker can execute arbitrary commands.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Produtos afetados
Sawtooth Software · Lighthouse StudioPoCs públicas encontradas — 1
githubgithub.com/jisi-001/CVE-2025-34300POC★ 1⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio/version-historyhttps://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/https://www.vulncheck.com/advisories/sawtooth-software-lighthouse-studio-preauthentication-rce