CVE-2025-14500
Mis à jour :
Injection de Commande Critique dans IceWarp
Une vulnérabilité critique (CVSS 9.8) a été identifiée dans IceWarp, portant le code CVE-2025-14500. Elle permet l’exécution de code à distance (RCE) sans nécessiter d’authentification. L’exploitation repose sur un défaut de validation de la chaîne fournie par l’utilisateur dans l’en-tête X-File-Operation, permettant à un attaquant d’exécuter des commandes système avec les privilèges SYSTEM. La vulnérabilité est actuellement en attente d’analyse par le NVD.
Points Clés :
- Nature de la faille : Injection de commande à distance (RCE) dans IceWarp via l’en-tête X-File-Operation.
- Impact : Permet l’exécution de code arbitraire avec les privilèges SYSTEM.
- Authentification : Non requise pour l’exploitation.
- Gravité : Critique, avec un score CVSS de 9.8.
- Statut : En attente d’analyse par le NVD.
Vulnérabilités :
- CVE-2025-14500 : IceWarp14 X-File-Operation Command Injection Remote Code Execution Vulnerability.
Recommandations :
Les informations disponibles ne fournissent pas de recommandations spécifiques de correction (patch). Cependant, étant donné la criticité et la nature de la faille, une mise à jour du logiciel IceWarp dès qu’elle sera disponible est fortement conseillée. Des analyses actives de trafic et d’instances vulnérables sont en cours.