Vulnerabilidad en Roxy-WI (CVE-2024-13129)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
03/01/2025
Última modificación:
26/08/2025
Descripción
Se ha encontrado una vulnerabilidad en Roxy-WI hasta la versión 8.1.3. Se ha declarado como crítica. La función action_service del archivo app/modules/roxywi/roxy.py está afectada por esta vulnerabilidad. La manipulación del argumento action/service provoca la inyección de comandos del sistema operativo. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 8.1.4 puede solucionar este problema. El identificador del parche es 32313928eb9ce906887b8a30bf7b9a3d5c0de1be. Se recomienda actualizar el componente afectado.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/0xs1ash/Exploits/tree/main/CVE-EXPLOIT
- https://github.com/roxy-wi/roxy-wi/pull/410
- https://github.com/roxy-wi/roxy-wi/pull/410#issuecomment-2561289700
- https://github.com/roxy-wi/roxy-wi/pull/410/commits/32313928eb9ce906887b8a30bf7b9a3d5c0de1be
- https://github.com/roxy-wi/roxy-wi/releases/tag/v8.1.4
- https://vuldb.com/?ctiid_290149=
- https://vuldb.com/?id_290149=
- https://vuldb.com/?submit_468530=