Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en IGEL OS (CVE-2025-34082)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
03/07/2025
Última modificación:
03/07/2025

Descripción

Existe una vulnerabilidad de inyección de comandos en versiones de IGEL OS anteriores a la 11.04.270 dentro de los servicios Secure Terminal y Secure Shadow. La falla surge debido a una depuración de entrada incorrecta al gestionar comandos PROXYCMD especialmente manipulados en los puertos TCP 30022 y 5900. Un atacante no autenticado con acceso de red a un dispositivo vulnerable puede inyectar comandos arbitrarios, lo que provoca la ejecución remota de código con privilegios elevados. NOTA: El sistema operativo IGEL v10.x ha alcanzado el fin de su ciclo de vida (EOL).