Inyección de comandos en el sistema operativo en Telenium Online Web Application de Megasys Enterprises
- Aplicación web Telenium Online: versiones 8.4.21 y anteriores.
Scott Sheach ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante, no autenticado, inyectar comandos arbitrarios del sistema operativo a través de una solicitud HTTP diseñada, lo que daría lugar a la ejecución remota de código en el servidor en el contexto de seguridad de la cuenta del servicio de la aplicación web.
Megasys Enterprises ha proporcionado una solución para esta vulnerabilidad. Los usuarios deben acceder a la página de asistencia de Megasys para obtener instrucciones sobre cómo aplicar la solución.
CVE-2025-10659: un endpoint público de Telenium Online gestiona incorrectamente datos de usuario y realiza una comprobación con una expresión regular que puede terminarse de forma insegura, permitiendo que entradas manipuladas no sean validadas ni saneadas correctamente. La entrada se usa posteriormente en una invocación al sistema sin escape ni paso de argumentos seguro, lo que permite a un atacante, no autenticado, inyectar comandos del sistema operativo y lograr ejecución remota de código bajo la cuenta de servicio de la aplicación.
