Plataforma
other
Componente
filemegane
Corregido en
3.0.1
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en FileMegane. Esta falla permite a un atacante ejecutar solicitudes arbitrarias a la API web del backend, lo que podría resultar en acciones no autorizadas, como el reinicio de servicios. La vulnerabilidad afecta a las versiones de FileMegane superiores a 3.0.0.0 y anteriores a 3.4.0.0. La solución recomendada es actualizar a la versión 3.4.0.0.
La vulnerabilidad SSRF en FileMegane permite a un atacante, mediante la manipulación de las solicitudes HTTP, forzar al servidor a realizar solicitudes a recursos internos o externos a los que normalmente no tendría acceso. En este caso específico, la explotación exitosa podría resultar en el reinicio de los servicios del sistema, interrumpiendo la disponibilidad y potencialmente comprometiendo la integridad de los datos. Un atacante podría utilizar esta vulnerabilidad para obtener información sensible, acceder a recursos protegidos o incluso ejecutar comandos en el servidor, dependiendo de la configuración y los permisos del sistema. Aunque no se han reportado casos de explotación pública, la naturaleza de la SSRF la convierte en un vector de ataque de alta prioridad.
La vulnerabilidad CVE-2025-20075 ha sido publicada el 17 de febrero de 2025. No se ha añadido a la lista KEV de CISA ni se ha reportado una puntuación EPSS. Actualmente, no se conocen pruebas de concepto (PoC) públicas disponibles, pero la naturaleza de la SSRF implica una probabilidad de explotación moderada a alta, especialmente en entornos con configuraciones inseguras. Se recomienda monitorear activamente los sistemas afectados en busca de actividad sospechosa.
Organizations deploying FileMegane versions 3.0.0.0 through 3.3.9.9 are at risk. This includes environments where FileMegane is used for file sharing or document management, particularly those with limited network segmentation or weak outbound access controls.
disclosure
Estado del Exploit
EPSS
0.07% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar FileMegane a la versión 3.4.0.0, que incluye la corrección de seguridad. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Estas incluyen la configuración de un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad SSRF. También se pueden implementar reglas de firewall para restringir el acceso a los recursos internos desde el exterior. Además, se recomienda revisar la configuración de FileMegane para asegurar que solo se permita el acceso a los recursos necesarios y que se apliquen las políticas de seguridad más restrictivas posibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes a recursos internos ahora están correctamente restringidas.
Actualice FileMegane a la versión 3.4.0.0 o superior. Esta actualización corrige la vulnerabilidad SSRF que permite la ejecución de solicitudes arbitrarias al backend, lo que podría resultar en el reinicio de los servicios. Consulte el aviso de seguridad del proveedor para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-20075 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en FileMegane que permite a un atacante ejecutar solicitudes web arbitrarias, pudiendo causar reinicios de servicios.
Si está utilizando FileMegane en versiones superiores a 3.0.0.0 y anteriores a 3.4.0.0, es vulnerable a esta vulnerabilidad SSRF.
La solución recomendada es actualizar FileMegane a la versión 3.4.0.0. Si no es posible, implemente reglas WAF para mitigar el riesgo.
Actualmente no se conocen casos de explotación pública, pero la naturaleza de la SSRF implica una probabilidad de explotación moderada a alta.
Consulte la documentación oficial de FileMegane o su sitio web para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.