Vulnerabilidad en Visual Weather de IBL Software Engineering (CVE-2025-1077)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

07/02/2025

Última modificación:

07/02/2025

Descripción

Se ha identificado una vulnerabilidad de seguridad en Visual Weather de IBL Software Engineering y productos derivados (NAMIS, Aero Weather, Satellite Weather). La vulnerabilidad está presente en el componente Product Delivery Service (PDS) en configuraciones de servidor específicas donde la canalización PDS utiliza la canalización IPDS con filtros de salida del editor de mensajes habilitados. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para enviar solicitudes no autenticadas para ejecutar la canalización IPDS con propiedades de formulario especialmente manipuladas, lo que permite la ejecución remota de código Python arbitrario. Esta vulnerabilidad podría provocar un compromiso total del sistema del servidor afectado, en particular si los servicios de Visual Weather se ejecutan bajo una cuenta de usuario privilegiada, lo que contradice las prácticas recomendadas de instalación documentadas. Actualice a las versiones parcheadas 7.3.10 (o superior), 8.6.0 (o superior).

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.50 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.50

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.iblsoft.com/security/advisory-isec-2024-001/