Vulnerabilidad en AVCON6 systems management platform de Epross (CVE-2018-25159)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

11/03/2026

Última modificación:

15/04/2026

Descripción

La plataforma de gestión de sistemas Epross AVCON6 contiene una vulnerabilidad de inyección de lenguaje de navegación de grafos de objetos (OGNL) que permite a atacantes no autenticados ejecutar comandos arbitrarios inyectando expresiones OGNL maliciosas. Los atacantes pueden enviar solicitudes manipuladas al endpoint login.action con cargas útiles OGNL en el parámetro redirect para instanciar objetos ProcessBuilder y ejecutar comandos del sistema con privilegios de root.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vulnerabilidad en AVCON6 systems management platform de Epross (CVE-2018-25159)

Descripción

Impacto

Referencias a soluciones, herramientas e información