La web interface di Meteobridge consente all’amministratore del sistema di gestire la raccolta dei dati della stazione meteo e amministrare il proprio sistema tramite un’applicazione web scritta in script shell CGI e C. CVE-2025-4008 permette ad attaccanti remoti non autenticati di eseguire comandi arbitrari con privilegi elevati (root) sui dispositivi vulnerabili. Con casi di sfruttamento già confermati e l’inserimento della vulnerabilità nel catalogo delle vulnerabilità sfruttate della CISA, è fondamentale applicare immediatamente le patch disponibili.

Riassunto tecnico

CVE-2025-4008 è una falla di command injection che riguarda le versioni di Meteobridge VM & Firmware fino alla versione 6.2 esclusa. La vulnerabilità si trova nello specifico nell’endpoint /public/template.cgi (accessibile anche tramite /public/template.cgi), uno script shell CGI che gestisce in modo improprio gli input dell’utente. Lo script analizza input controllabili dall’utente dalla variabile $QUERY_STRING e li utilizza senza sanificazione in una chiamata eval, consentendo l’iniezione di comandi arbitrari da riga di comando. Sebbene l’autenticazione sia applicata da uhttpd per directory come cgi-bin, lo script vulnerabile è anche accessibile tramite la directory public, che non è protetta, permettendo così lo sfruttamento non autenticato.

• Esempio base di exploit: La vulnerabilità può essere sfruttata inviando una richiesta GET, passando comandi malevoli tramite il parametro templatefile, ad esempio: /public/template.cgi?templatefile=$(command)

Raccomandazioni

1. Applicare subito la patch: aggiornare Meteobridge alla Versione 6.2 (rilasciata il 13 maggio 2025) o successiva.
2. Isolare e disabilitare l’accesso remoto: disabilitare l’accesso remoto a Meteobridge.
3. Attività di rilevamento e monitoraggio: eseguire audit per rilevare anomalie e analizzare le richieste verso l’endpoint /cgi-bin/template.cgi.