Los investigadores de ciberseguridad han revelado múltiples defectos de seguridad en la versión local del software SYSAID IT Support que podrían explotarse para lograr la ejecución de código remoto preautenticado con privilegios elevados.
Las vulnerabilidades, rastreadas como CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777, se han descrito como entidad externa XML (Xxe) inyecciones, que ocurren cuando un atacante puede interferir con éxito con el análisis de la entrada XML de una aplicación.
Esto, a su vez, podría permitir a los atacantes inyectar entidades XML inseguras en la aplicación web, lo que les permite realizar una falsificación de solicitud del lado del servidor (SSRF) Ataque y en el peor de los casos, ejecución de código remoto.
Una descripción de las tres vulnerabilidades, de acuerdo a Para los investigadores de WatchToWr Labs, Sina Kheirkhah y Jake Knott, es el siguiente –
- CVE-2025-2775 y CVE-2025-2776-Un XXE preautenticado dentro del punto final /MDM /Checkin
- CVE-2025-2777-Un XXE preautenticado dentro del punto final /LSHW
WatchToWr Labs describió las vulnerabilidades como triviales para explotar por medio de una solicitud de publicación HTTP especialmente elaborada a los puntos finales en cuestión.
La explotación exitosa de los defectos podría permitir a un atacante recuperar archivos locales que contienen información confidencial, incluido el propio archivo “initaccount.cmd” de Sysaid, que contiene información sobre el nombre de usuario de la cuenta de administrador y la contraseña de texto sin formato creado durante la instalación.
Armado con esta información, el atacante podría obtener acceso administrativo completo a SYSAID como usuario privilegiado por el administrador.
Para empeorar las cosas, las fallas XXE podrían estar encadenadas con otra vulnerabilidad de inyección de comando del sistema operativo, descubierto por un tercero, para lograr la ejecución de código remoto. El problema de inyección de comando se ha asignado al identificador CVE CVE-2025-2778.
Las cuatro vulnerabilidades han sido rectificado por Sysaid con el lanzamiento de la versión 24.4.60 B16 a principios de marzo de 2025. Se ha explotado una explotación de prueba de concepto (POC) que combina las cuatro vulnerabilidades puesto a disposición.
Con fallas de seguridad en SYSAID (CVE-2023-47246) previamente explotados por actores de ransomware como CL0P en ataques de día cero, es imperativo que los usuarios actualicen sus instancias a la última versión.
About the Author
