Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Keyoti SearchUnit (CVE-2025-44043)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
10/06/2025
Última modificación:
17/06/2025

Descripción

Keyoti SearchUnit anterior a la versión 9.0.0 es vulnerable a Server-side request forgery (SSRF) en /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetResults y /Keyoti_SearchEngine_Web_Common/SearchService.svc/GetLocationAndContentCategories. Un atacante puede especificar su propio servidor SMB como valor de indexDirectory al realizar solicitudes POST a los componentes afectados. De esta forma, puede lograr que el servidor SearchUnit lea y escriba archivos de configuración y registro desde/hacia el servidor del atacante.