Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Remote for Mac (CVE-2025-34089)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
03/07/2025
Última modificación:
03/07/2025

Descripción

Existe una vulnerabilidad de ejecución remota de código no autenticado en Remote for Mac, una utilidad de control remoto para macOS desarrollada por Aexol Studio, en versiones hasta la 2025.7 incluida. Cuando la aplicación se configura con la autenticación deshabilitada (es decir, con la opción "Permitir dispositivos desconocidos" habilitada), el endpoint /api/executeScript queda expuesto sin control de acceso. Esto permite a atacantes remotos no autenticados inyectar payloads arbitrarias de AppleScript a través de la cabecera HTTP X-Script, lo que resulta en la ejecución de código mediante un script de shell. Una explotación exitosa permite a los atacantes ejecutar comandos arbitrarios en el host macOS con los privilegios del proceso en segundo plano de Remote for Mac.