Vulnerabilidad en IGEL OS (CVE-2025-34082)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/07/2025
Última modificación:
03/07/2025
Descripción
Existe una vulnerabilidad de inyección de comandos en versiones de IGEL OS anteriores a la 11.04.270 dentro de los servicios Secure Terminal y Secure Shadow. La falla surge debido a una depuración de entrada incorrecta al gestionar comandos PROXYCMD especialmente manipulados en los puertos TCP 30022 y 5900. Un atacante no autenticado con acceso de red a un dispositivo vulnerable puede inyectar comandos arbitrarios, lo que provoca la ejecución remota de código con privilegios elevados. NOTA: El sistema operativo IGEL v10.x ha alcanzado el fin de su ciclo de vida (EOL).
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://kb.igel.com/security-safety/current/isn-2021-01-igel-os-remote-command-execution-vulne
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/misc/igel_command_injection.rb
- https://vulncheck.com/advisories/igel-os-secure-terminal-shadow-rce
- https://www.igel.com/wp-content/uploads/2021/02/lxos_11.04.270.txt