Vulnerabilidad en Evertz SVDN 3080ipx-10G (CVE-2025-4009)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
28/05/2025
Última modificación:
12/09/2025
Descripción
Evertz SVDN 3080ipx-10G es una red de conmutación Ethernet de alto ancho de banda para aplicaciones de vídeo. Este dispositivo expone una interfaz de gestión web en el puerto 80. Esta interfaz web puede ser utilizada por los administradores para controlar las funciones del producto, configurar la conmutación de red y registrar licencias, entre otras funciones. La aplicación se desarrolló en PHP con el SDK webEASY, también llamado "ewb" por Evertz. Esta interfaz web tiene dos endpoints vulnerables a la inyección de comandos arbitrarios y el mecanismo de autenticación presenta una falla que permite la omisión de la autenticación. Atacantes remotos no autenticados pueden ejecutar comandos arbitrarios con privilegios elevados (root) en los dispositivos afectados. Este nivel de acceso podría tener graves consecuencias para la empresa, como la interrupción de la transmisión multimedia, la modificación de la transmisión multimedia o la alteración de los subtítulos generados, entre otros.