CVE-2025-4008
Arbitrary Command Injection in Smartbedded MeteoBridge
Em resumo
A interface web do Meteobridge, usado para gerenciar estações meteorológicas, tem uma falha que permite invasores executar comandos no dispositivo sem fazer login. Isso dá ao atacante controle total sobre todo o sistema.
Detalhe técnico
Um endpoint da interface web baseada em CGI do Meteobridge é vulnerável a injeção de comandos do sistema operacional (CWE-77) devido à falta de validação adequada de entrada. Atacantes não autenticados podem explorar essa falha para executar comandos arbitrários com privilégios de root, contornando mecanismos de autenticação (CWE-306), levando ao comprometimento completo do dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Meteobridge web interface let meteobridge administrator manage their weather station data collection and administer their meteobridge system through a web application written in CGI shell scripts and C.
This web interface exposes an endpoint that is vulnerable to command injection.
Remote unauthenticated attackers can gain arbitrary command execution with elevated privileges ( root ) on affected devices.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Smartbedded · MeteoBridgeQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →