Vulnerabilidad en Output Messenger (CVE-2025-27920)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/05/2025
Última modificación:
05/11/2025
Descripción
Output Messenger, antes de la versión 2.0.63, era vulnerable a un ataque de salto de directorio debido a la gestión incorrecta de las rutas de archivo. Al usar secuencias ../ en los parámetros, los atacantes podían acceder a archivos confidenciales fuera del directorio previsto, lo que podía provocar fugas de configuración o acceso arbitrario a archivos.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:srimax:output_messenger:*:*:*:*:*:*:*:* | 2.0.63 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.outputmessenger.com/cve-2025-27920/
- https://www.srimax.com/products-2/output-messenger/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-27920
- https://www.microsoft.com/en-us/security/blog/2025/05/12/marbled-dust-leverages-zero-day-in-output-messenger-for-regional-espionage/