CVE-2025-65199
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
10/12/2025
Última modificación:
23/12/2025
Descripción
*** Pendiente de traducción *** A command injection vulnerability exists in Windscribe for Linux Desktop App that allows a local user who is a member of the windscribe group to execute arbitrary commands as root via the 'adapterName' parameter of the 'changeMTU' function. Fixed in Windscribe v2.18.3-alpha and v2.18.8.
Impacto
Puntuación base 4.0
7.30
Gravedad 4.0
ALTA
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:windscribe:windscribe:*:*:*:*:*:linux:*:* | 2.10.1 (incluyendo) | 2.17.10 (incluyendo) |
| cpe:2.3:a:windscribe:windscribe:2.18.1:alpha:*:*:*:linux:*:* | ||
| cpe:2.3:a:windscribe:windscribe:2.18.3:*:*:*:*:linux:*:* | ||
| cpe:2.3:a:windscribe:windscribe:2.18.5:*:*:*:*:linux:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Windscribe/Desktop-App
- https://github.com/Windscribe/Desktop-App/compare/v2.18.2...v2.18.3?diff=unified&w=#diff-57e27ab201a1a612609087b839e03bf87a5a063ffcc3f465a6245469bc102754
- https://github.com/Windscribe/Desktop-App/compare/v2.18.2...v2.18.3?diff=unified&w=#diff-cfc5df17057ed92112ae70a42c81c57c79f434429210ff881fb0771cf8e39b4c
- https://hackingbydoing.wixsite.com/hackingbydoing/post/windscribe-vpn-local-privilege-escalation
- https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025/va-25-343-01.json
- https://www.cve.org/CVERecord?id=CVE-2025-65199