CISA sinaliza falha CVE-2025-4008 do Meteobridge como explorada ativamente

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma falha de segurança de alta gravidade que afeta o Smartbedded Meteobridge ao seu catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), citando evidências de exploração ativa.

A vulnerabilidade CVE-2025-4008 (pontuação CVSS: 8,7) é um caso de injeção de comando na interface web do Meteobridge que pode resultar em execução de código.

"O Smartbedded Meteobridge contém uma vulnerabilidade de injeção de comando que poderia permitir que atacantes remotos não autenticados obtenham execução arbitrária de comandos com privilégios elevados (root) em dispositivos afetados", disse a CISA.

De acordo com a ONEKEY, que descobriu e relatou o problema no final de fevereiro de 2025, a vulnerabilidade pode ser explorada por atacantes não autenticados, pois o script CGI é hospedado em um diretório público sem exigir autenticação.

A vulnerabilidade foi corrigida na versão 6.2 do Meteobridge, lançada em 13 de maio de 2025.

Também foram adicionados ao catálogo KEV da CISA outras quatro falhas:

• CVE-2025-21043 - Dispositivos móveis Samsung contêm uma vulnerabilidade de gravação fora dos limites
• CVE-2017-1000353 - Jenkins contém uma vulnerabilidade de desserialização de dados não confiáveis
• CVE-2015-7755 - Juniper ScreenOS contém uma vulnerabilidade de autenticação inadequada
• CVE-2014-6278 (Shellshock) - GNU Bash contém uma vulnerabilidade de injeção de comando do SO

Diante da exploração ativa, as agências do Poder Executivo Federal Civil (FCEB) são obrigadas a aplicar as atualizações necessárias até 23 de outubro de 2025 para proteção ideal.