Los investigadores de ciberseguridad han revelado múltiples defectos de seguridad en la versión local del software SYSAID IT Support que podrían explotarse para lograr la ejecución de código remoto preautenticado con privilegios elevados.
Las vulnerabilidades, rastreadas como CVE-2025-2775, CVE-2025-2776 y CVE-2025-2777, se han descrito como inyecciones de entidad externa XML (XXE), que ocurren cuando un atacante puede interferir con éxito con la parsación de entrada XML de una aplicación.
Esto, a su vez, podría permitir a los atacantes inyectar entidades XML inseguras en la aplicación web, lo que les permite realizar un ataque de falsificación de solicitud del lado del servidor (SSRF) y, en los peores casos, la ejecución del código remoto.
Es la siguiente descripción de las tres vulnerabilidades, según los investigadores de WatchToWr Labs, Sina Kheirkhah y Jake Knott.
- CVE-2025-2775 y CVE-2025-2776-Un XXE preautenticado dentro del punto final /MDM /Checkin
- CVE-2025-2777-Un XXE preautenticado dentro del punto final /LSHW
WatchToWr Labs describió las vulnerabilidades como triviales para explotar por medio de una solicitud de publicación HTTP especialmente elaborada a los puntos finales en cuestión.
La explotación exitosa de los defectos podría permitir a un atacante recuperar archivos locales que contienen información confidencial, incluido el propio archivo «initaccount.cmd» de Sysaid, que contiene información sobre el nombre de usuario de la cuenta de administrador y la contraseña de texto sin formato creado durante la instalación.
Armado con esta información, el atacante podría obtener acceso administrativo completo a SYSAID como usuario privilegiado por el administrador.
Para empeorar las cosas, las fallas XXE podrían estar encadenadas con otra vulnerabilidad de inyección de comando del sistema operativo, descubierto por un tercero, para lograr la ejecución de código remoto. El problema de inyección de comando se ha asignado al identificador CVE CVE-2025-2778.
Sysaid ha rectificado las cuatro vulnerabilidades con el lanzamiento de la versión 24.4.60 B16 a principios de marzo de 2025.
Con fallas de seguridad en SYSAID (CVE-2023-47246) previamente explotados por actores de ransomware como CL0P en ataques de día cero, es imperativo que los usuarios actualicen sus instancias a la última versión.