Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Patches SYSAID 4 fallas críticas que permiten pre-autor RCE en la versión en las instalaciones
  • Tecnología

Patches SYSAID 4 fallas críticas que permiten pre-autor RCE en la versión en las instalaciones

teknomers 7 de Mayıs de 2025 (Last updated: 7 de Mayıs de 2025) 3 minutes read
Patches SYSAID 4 fallas críticas que permiten pre-autor RCE en


07 de mayo de 2025Ravie LakshmananServicio de vulnerabilidad / TI

Los investigadores de ciberseguridad han revelado múltiples defectos de seguridad en la versión local del software SYSAID IT Support que podrían explotarse para lograr la ejecución de código remoto preautenticado con privilegios elevados.

Las vulnerabilidades, rastreadas como CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777, se han descrito como entidad externa XML (Xxe) inyecciones, que ocurren cuando un atacante puede interferir con éxito con el análisis de la entrada XML de una aplicación.

Esto, a su vez, podría permitir a los atacantes inyectar entidades XML inseguras en la aplicación web, lo que les permite realizar una falsificación de solicitud del lado del servidor (SSRF) Ataque y en el peor de los casos, ejecución de código remoto.

Ciberseguridad

Una descripción de las tres vulnerabilidades, de acuerdo a Para los investigadores de WatchToWr Labs, Sina Kheirkhah y Jake Knott, es el siguiente –

  • CVE-2025-2775 y CVE-2025-2776-Un XXE preautenticado dentro del punto final /MDM /Checkin
  • CVE-2025-2777-Un XXE preautenticado dentro del punto final /LSHW

WatchToWr Labs describió las vulnerabilidades como triviales para explotar por medio de una solicitud de publicación HTTP especialmente elaborada a los puntos finales en cuestión.

La explotación exitosa de los defectos podría permitir a un atacante recuperar archivos locales que contienen información confidencial, incluido el propio archivo “initaccount.cmd” de Sysaid, que contiene información sobre el nombre de usuario de la cuenta de administrador y la contraseña de texto sin formato creado durante la instalación.

Armado con esta información, el atacante podría obtener acceso administrativo completo a SYSAID como usuario privilegiado por el administrador.

Para empeorar las cosas, las fallas XXE podrían estar encadenadas con otra vulnerabilidad de inyección de comando del sistema operativo, descubierto por un tercero, para lograr la ejecución de código remoto. El problema de inyección de comando se ha asignado al identificador CVE CVE-2025-2778.

Ciberseguridad

Las cuatro vulnerabilidades han sido rectificado por Sysaid con el lanzamiento de la versión 24.4.60 B16 a principios de marzo de 2025. Se ha explotado una explotación de prueba de concepto (POC) que combina las cuatro vulnerabilidades puesto a disposición.

Con fallas de seguridad en SYSAID (CVE-2023-47246) previamente explotados por actores de ransomware como CL0P en ataques de día cero, es imperativo que los usuarios actualicen sus instancias a la última versión.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: No importa cuán modesta sea Robert Plant, solo necesita rockear con sus piernas delgadas y conoce todo Carré: está el legendario cantante de Led Zeppelin
Next: Weightwatchers Dieta de la marca Solicitud de bancarrota después de 62 años

Related Stories

Baterías extraíbles: Europa finalmente protege los relojes inteligentes y otros
  • Tecnología

Baterías extraíbles: Europa finalmente protege los relojes inteligentes y otros dispositivos wearables

teknomers 16 de Temmuz de 2026
Inversiones ficticias, fraude al presidente... una red desmantelada de 140
  • Tecnología

Inversiones ficticias, fraude al presidente… una red desmantelada de 140 millones de euros

teknomers 16 de Temmuz de 2026
Disney reclamaba 16 millones de euros a este técnico del
  • Tecnología

Disney reclamaba 16 millones de euros a este técnico del sitio pirata Uptobox, la justicia francesa da su veredicto

teknomers 16 de Temmuz de 2026

You May Have Missed

  • General

Australia endurecerá el escrutinio a las Big Four Deloitte, EY, PwC, KPMG tras una oleada de escándalos

teknomers 16 de Temmuz de 2026
  • Deporte

Caitlin Clark grita en la cara del árbitro tras la derrota de Indiana Fever ante Golden State Valkyries

teknomers 16 de Temmuz de 2026
  • Finanzas

¿Y si encontrases tu futuro hogar en tu banco?

teknomers 16 de Temmuz de 2026
« Muchas personas inventan historias »: Thierry Henry se irrita
  • Deporte

« Muchas personas inventan historias »: Thierry Henry se irrita por las falsas citas que se le atribuyen sobre los Bleus.

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.