ISGroup Conseil en Cybersécurité

CVE-2025-4008 – Injection de commandes – Meteobridge VM & Firmware

L’interface web de Meteobridge permet à l’administrateur système de gérer la collecte des données de la station météo et d’administrer son système via une application web écrite en scripts shell CGI et C. La CVE-2025-4008 permet à des attaquants distants non authentifiés d’exécuter des commandes arbitraires avec des privilèges élevés (root) sur les appareils vulnérables. Avec des cas d’exploitation déjà confirmés et l’ajout de la vulnérabilité au catalogue des vulnérabilités exploitées de la CISA, il est crucial d’appliquer immédiatement les correctifs disponibles.

Date08/10/2025 08:54:12
Informations
  • Tendance
  • Correctif disponible

Résumé technique

La CVE-2025-4008 est une faille d’injection de commande qui concerne les versions de Meteobridge VM & Firmware jusqu’à la version 6.2 exclue. La vulnérabilité se situe spécifiquement dans le point de terminaison /public/template.cgi (également accessible via /public/template.cgi), un script shell CGI qui gère de manière inappropriée les entrées utilisateur. Le script analyse les entrées contrôlables par l’utilisateur à partir de la variable $QUERY_STRING et les utilise sans assainissement dans un appel eval, permettant l’injection de commandes arbitraires en ligne de commande. Bien que l’authentification soit appliquée par uhttpd pour des répertoires tels que cgi-bin, le script vulnérable est également accessible via le répertoire public, qui n’est pas protégé, permettant ainsi une exploitation sans authentification.

  • Exemple de base d’exploit : La vulnérabilité peut être exploitée en envoyant une requête GET, en passant des commandes malveillantes via le paramètre templatefile, par exemple : /public/template.cgi?templatefile=$(command)

Recommandations

  1. Appliquer immédiatement le correctif : mettre à jour Meteobridge vers la version 6.2 (publiée le 13 mai 2025) ou une version ultérieure.
  2. Isoler et désactiver l’accès distant : désactiver l’accès distant à Meteobridge.
  3. Activités de détection et de surveillance : effectuer des audits pour détecter des anomalies et analyser les requêtes vers le point de terminaison /cgi-bin/template.cgi.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *