ISGroup Cybersicherheitsberatung

CVE-2025-4008 – Command Injection – Meteobridge VM & Firmware

Die Web-Oberfläche von Meteobridge ermöglicht es dem Systemadministrator, die Datenerfassung der Wetterstation zu verwalten und das System über eine Webanwendung zu steuern, die in CGI-Shell-Skripten und C geschrieben ist. CVE-2025-4008 ermöglicht es nicht authentifizierten Remote-Angreifern, beliebige Befehle mit erhöhten Privilegien (Root) auf anfälligen Geräten auszuführen. Da bereits bestätigte Ausnutzungsfälle vorliegen und die Schwachstelle in den Katalog der aktiv ausgenutzten Schwachstellen der CISA aufgenommen wurde, ist es entscheidend, die verfügbaren Patches umgehend anzuwenden.

Datum08.10.2025 08:54:12
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

CVE-2025-4008 ist eine Command-Injection-Lücke, die Meteobridge VM & Firmware-Versionen bis einschließlich Version 6.1 betrifft. Die Schwachstelle befindet sich spezifisch im Endpunkt /public/template.cgi (auch über /public/template.cgi erreichbar), einem CGI-Shell-Skript, das Benutzereingaben unsachgemäß verarbeitet. Das Skript analysiert vom Benutzer steuerbare Eingaben aus der Variable $QUERY_STRING und verwendet diese ohne Bereinigung in einem eval-Aufruf, was die Injektion beliebiger Befehle über die Befehlszeile ermöglicht. Obwohl die Authentifizierung durch uhttpd für Verzeichnisse wie cgi-bin erzwungen wird, ist das anfällige Skript auch über das öffentliche Verzeichnis zugänglich, welches nicht geschützt ist, was eine nicht authentifizierte Ausnutzung ermöglicht.

  • Grundlegendes Beispiel für einen Exploit: Die Schwachstelle kann durch das Senden einer GET-Anfrage ausgenutzt werden, bei der bösartige Befehle über den Parameter templatefile übergeben werden, zum Beispiel: /public/template.cgi?templatefile=$(command)

Empfehlungen

  1. Patch sofort anwenden: Aktualisieren Sie Meteobridge auf Version 6.2 (veröffentlicht am 13. Mai 2025) oder neuer.
  2. Fernzugriff isolieren und deaktivieren: Deaktivieren Sie den Fernzugriff auf Meteobridge.
  3. Erkennungs- und Überwachungsmaßnahmen: Führen Sie Audits durch, um Anomalien zu erkennen, und analysieren Sie Anfragen an den Endpunkt /cgi-bin/template.cgi.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *