Vulnerabilidad en ETQ Reliance (CVE-2025-34143)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
22/07/2025
Última modificación:
04/11/2025
Descripción
Existe una vulnerabilidad de omisión de autenticación en ETQ Reliance en la plataforma CG (legacy). La aplicación permitía iniciar sesión como el usuario interno privilegiado del SYSTEM manipulando el campo de nombre de usuario. La cuenta de SYSTEM no requiere contraseña, lo que permite a los atacantes con acceso de red a la página de inicio de sesión obtener acceso elevado. Una vez autenticado, un atacante podría ejecutar código remoto modificando scripts Jython dentro de la aplicación. Este problema se resolvió introduciendo una lógica de validación más estricta para excluir las cuentas internas de los flujos de trabajo de autenticación públicos en la versión MP-4583.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://slcyber.io/assetnote-security-research-center/how-we-accidentally-discovered-a-remote-code-execution-vulnerability-in-etq-reliance/
- https://www.etq.com/blog/etq-reliance-security-update/
- https://www.etq.com/product-overview/
- https://www.vulncheck.com/advisories/etq-reliance-cg-authentication-bypass-via-trailing-space-rce