Vulnerabilidad en Hoverfly (CVE-2025-54123)

Hoverfly es una herramienta de simulación de API de código abierto. En las versiones 1.11.3 y anteriores, la funcionalidad de middleware en Hoverfly es vulnerable a una vulnerabilidad de inyección de comandos en el endpoint '/api/v2/hoverfly/middleware' debido a una validación y sanitización insuficientes en la entrada del usuario. La vulnerabilidad existe en el endpoint de la API de gestión de middleware '/api/v2/hoverfly/middleware'. Este problema nace de la combinación de tres fallos a nivel de código: Validación de Entrada Insuficiente en middleware.go línea 94-96; Ejecución de Comandos Insegura en local_middleware.go línea 14-19; y Ejecución Inmediata Durante las Pruebas en hoverfly_service.go línea 173. Esto permite a un atacante obtener ejecución remota de código (RCE) en cualquier sistema que ejecute el servicio Hoverfly vulnerable. Dado que la entrada se pasa directamente a los comandos del sistema sin las comprobaciones adecuadas, un atacante puede cargar una carga útil maliciosa o ejecutar directamente comandos arbitrarios (incluyendo shells inversas) en el servidor anfitrión con los privilegios del proceso Hoverfly. El commit 17e60a9bc78826deb4b782dca1c1abd3dbe60d40 en la versión 1.12.0 deshabilita la API de configuración de middleware por defecto, y los cambios posteriores en la documentación alertan a los usuarios sobre los cambios de seguridad al exponer la API de configuración de middleware.