This post is also available in: Português Español
CVE-2025-27364 es una vulnerabilidad crítica de ejecución remota de código (RCE) identificada en versiones de MITRE Caldera hasta 4.2.0 y 5.0.0 anteriores a la confirmación 35bc06e. Esta vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario en el servidor donde se ejecuta Caldera, a través de solicitudes web especialmente diseñadas dirigidas a la API del servidor Caldera.
Productos afectados por CVE-2025-27364
MITRE Caldera es una plataforma de emulación de adversarios construida sobre el marco MITRE ATT&CK, ampliamente utilizada por equipos de ciberseguridad para evaluar detecciones, capacitar equipos y probar entornos cibernéticos. Las versiones afectadas incluyen todas hasta la 4.2.0 y 5.0.0 anteriores a la confirmación 35bc06e.
Naturaleza de la vulnerabilidad
La falla está relacionada con la funcionalidad de compilación dinámica de los agentes Sandcat y Manx de Caldera. En concreto, la vulnerabilidad está clasificada como una “Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo” (CWE-78), también conocida como inyección de comandos del sistema operativo.
Esta debilidad ocurre cuando el software construye comandos del sistema operativo utilizando entradas externas sin neutralizar adecuadamente los elementos especiales que podrían alterar el comando previsto.
Puntuación CVSS y gravedad de CVE-2025-27364
CVE-2025-27364 ha recibido una puntuación CVSS de 10,0, lo que la categoriza como una vulnerabilidad crítica. Esta puntuación refleja la facilidad de explotación y el potencial impacto significativo, incluido el compromiso total del sistema afectado.
Cómo funciona el exploit
Los atacantes podrían explotar esta vulnerabilidad enviando solicitudes HTTPS especialmente diseñadas a la API del servidor Caldera, que se utiliza para compilar y descargar los agentes Sandcat o Manx. Estas solicitudes pueden utilizar el indicador de enlace gcc -extldflags con subcomandos, lo que permite ejecutar código arbitrario en el servidor.
Impacto y necesidad de solución
La explotación exitosa de esta vulnerabilidad podría dar a los atacantes control total sobre el servidor afectado, comprometiendo la confidencialidad, integridad y disponibilidad de los sistemas y datos.
Dada la PoC (prueba de concepto) disponible públicamente y la posibilidad de que se lance pronto un módulo Metasploit, es muy importante que los usuarios de Caldera actualicen a la versión 5.1.0 o superior inmediatamente para mitigar los riesgos asociados.
Para obtener más información y acceder a las actualizaciones necesarias, visite la sección de seguridad del repositorio oficial de GitHub de MITRE Caldera.
This post is also available in: Português Español
