This post is also available in: Português
A vulnerabilidade CVE-2025-27364 é uma falha crítica de execução remota de código (RCE) identificada nas versões do MITRE Caldera até 4.2.0 e 5.0.0 anteriores ao commit 35bc06e. Essa vulnerabilidade permite que invasores não autenticados executem código arbitrário no servidor onde o Caldera está em operação, por meio de requisições web especialmente elaboradas direcionadas à API do servidor Caldera.
Produtos afetados pela CVE-2025-27364
O MITRE Caldera é uma plataforma de emulação de adversários construída sobre o framework MITRE ATT&CK, amplamente utilizada por equipes de cibersegurança para avaliar detecções, treinar equipes e testar ambientes cibernéticos. As versões afetadas incluem todas até a 4.2.0 e a 5.0.0 anteriores ao commit 35bc06e.
Natureza da vulnerabilidade
A falha está relacionada à funcionalidade de compilação dinâmica dos agentes Sandcat e Manx do Caldera. Especificamente, a vulnerabilidade é classificada como uma “Neutralização Imprópria de Elementos Especiais usados em um Comando do Sistema Operacional” (CWE-78), também conhecida como injeção de comando do sistema operacional.
Essa fraqueza ocorre quando o software constrói comandos do sistema operacional utilizando entradas externas sem neutralizar adequadamente elementos especiais que podem alterar o comando pretendido.
Pontuação CVSS e gravidade da CVE-2025-27364
A CVE-2025-27364 recebeu uma pontuação CVSS de 10.0, categorizando-a como uma vulnerabilidade crítica. Essa pontuação reflete a facilidade de exploração e o impacto potencial significativo, incluindo comprometimento total do sistema afetado.
Funcionamento da exploração
Invasores podem explorar essa vulnerabilidade enviando requisições HTTPS especialmente criadas para a API do servidor Caldera, utilizada para compilar e baixar os agentes Sandcat ou Manx. Essas requisições podem utilizar a flag do linker gcc -extldflags com subcomandos, permitindo a execução de código arbitrário no servidor.
Impacto e necessidade de correção
A exploração bem-sucedida dessa vulnerabilidade pode conceder aos invasores controle total sobre o servidor afetado, comprometendo a confidencialidade, integridade e disponibilidade dos sistemas e dados.
Dado o PoC (Prova de Conceito) público disponível e a possibilidade de um módulo Metasploit ser lançado em breve, é muito importante que os usuários do Caldera atualizem para a versão 5.1.0 ou superior imediatamente para mitigar os riscos associados.
Para obter mais informações e acessar as atualizações necessárias, visite a seção de segurança do repositório oficial do MITRE Caldera no GitHub.
This post is also available in: Português
