CVE-2025-14500

Vulnérabilité Critique dans IceWarp : Exécution de Code à Distance

Une faille de sécurité critique affecte IceWarp, permettant à des attaquants distants d’exécuter du code arbitraire sans authentification. La vulnérabilité, identifiée sous le numéro CVE-2025-14500, découle d’un manque de validation d’une chaîne fournie par l’utilisateur dans le traitement de l’en-tête X-File-Operation. Cela permet d’exécuter des appels système de manière non sécurisée, potentiellement avec les privilèges SYSTEM.

Points Clés :

• Produit affecté : IceWarp
• Type de vulnérabilité : Injection de commande, exécution de code à distance (RCE)
• Accès requis : Aucun (non authentifié)
• Impact : Exécution de code arbitraire avec les privilèges SYSTEM.

Vulnérabilité :

• CVE : CVE-2025-14500
• Description : Vulnérabilité d’injection de commande via l’en-tête X-File-Operation dans IceWarp.
• Score CVSS 3.0 : 9.8 (Critique)
  • Base score : 9.8
  • Impact score : 5.9
  • Exploitability score : 3.9
  • Vector string : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques de correction, la nature critique de la vulnérabilité et son score CVSS élevé imposent une action immédiate. Les utilisateurs d’IceWarp doivent rechercher et appliquer les correctifs dès qu’ils sont disponibles auprès du fournisseur. En l’absence de correctif, une segmentation du réseau et une surveillance accrue des communications entrantes vers les instances IceWarp sont conseillées.

Source