Vulnerabilidad en Remote for Mac (CVE-2025-34089)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

03/07/2025

Última modificación:

03/07/2025

Descripción

Existe una vulnerabilidad de ejecución remota de código no autenticado en Remote for Mac, una utilidad de control remoto para macOS desarrollada por Aexol Studio, en versiones hasta la 2025.7 incluida. Cuando la aplicación se configura con la autenticación deshabilitada (es decir, con la opción "Permitir dispositivos desconocidos" habilitada), el endpoint /api/executeScript queda expuesto sin control de acceso. Esto permite a atacantes remotos no autenticados inyectar payloads arbitrarias de AppleScript a través de la cabecera HTTP X-Script, lo que resulta en la ejecución de código mediante un script de shell. Una explotación exitosa permite a los atacantes ejecutar comandos arbitrarios en el host macOS con los privilegios del proceso en segundo plano de Remote for Mac.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Remote for Mac (CVE-2025-34089)

Descripción

Impacto

Referencias a soluciones, herramientas e información