Vulnerabilidad en ICTBroadcast (CVE-2025-2611)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

05/08/2025

Última modificación:

04/11/2025

Descripción

La aplicación ICTBroadcast transfiere de forma insegura los datos de las cookies de sesión al procesamiento del shell, lo que permite a un atacante inyectar comandos de shell en una cookie de sesión que se ejecutan en el servidor. Esto provoca la ejecución remota de código no autenticado en el procesamiento de la sesión. Las versiones 7.4 y anteriores son vulnerables.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:L/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en ICTBroadcast (CVE-2025-2611)

Descripción

Impacto

Referencias a soluciones, herramientas e información