Vulnerabilidad en ZEN Load Balancer (CVE-2012-10039)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
11/08/2025
Última modificación:
11/08/2025
Descripción
Las versiones 2.0 y 3.0-rc1 de ZEN Load Balancer contienen una vulnerabilidad de inyección de comandos en content2-2.cgi. El parámetro filelog se pasa directamente a una llamada exec() delimitada por comillas invertidas sin depuración. Un atacante autenticado puede inyectar comandos de shell arbitrarios, lo que resulta en la ejecución remota de código como usuario root. ZEN Load Balancer es el predecesor de ZEVENET y SKUDONET. Las versiones afectadas (2.0 y 3.0-rc1) ya no reciben soporte. SKUDONET CE es el sucesor actual, mantenido por la comunidad.
Impacto
Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/zen_load_balancer_exec.rb
- https://web.archive.org/web/20111015031540/http://www.zenloadbalancer.com/
- https://web.archive.org/web/20221203195056/https://itsecuritysolutions.org/2012-09-21-ZEN-Load-Balancer-v2.0-and-v3.0-rc1-multiple-vulnerabilities/
- https://www.exploit-db.com/exploits/21849
- https://www.fortiguard.com/encyclopedia/ips/33335/zen-load-balancer-filelog-command-execution