Vulnerabilidad en Keyoti SearchUnit (CVE-2025-44043)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
10/06/2025
Última modificación:
17/06/2025
Descripción
Keyoti SearchUnit anterior a la versión 9.0.0 es vulnerable a Server-side request forgery (SSRF) en /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetResults y /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetLocationAndContentCategories. Un atacante puede especificar su propio servidor SMB como valor de indexDirectory al realizar solicitudes POST a los componentes afectados. De esta forma, puede lograr que el servidor SearchUnit lea y escriba archivos de configuración y registro desde/hacia el servidor del atacante.
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA