Plataforma
other
Componente
sunshine
Corregido en
2025.628.4511
Se ha descubierto una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Sunshine, un host de streaming de juegos auto-alojado para Moonlight. Esta falla permite a un atacante, mediante una página web maliciosa, ejecutar acciones no deseadas en la aplicación Sunshine en nombre de un usuario autenticado. La vulnerabilidad afecta a versiones anteriores o iguales a 2025.628.4510 y se ha solucionado en la versión 2025.628.4510.
La vulnerabilidad CSRF en Sunshine es particularmente grave debido a la capacidad de la aplicación para ejecutar comandos del sistema operativo. Un atacante puede explotar la función de "Preparaciones de Comandos" para inyectar comandos arbitrarios que serán ejecutados con los privilegios del usuario autenticado. Esto podría resultar en la ejecución remota de código, la modificación de archivos de configuración, el robo de datos sensibles o incluso el control total del servidor donde se ejecuta Sunshine. La falta de protección CSRF abre la puerta a ataques sofisticados que pueden comprometer la seguridad de la infraestructura de streaming de juegos.
Esta vulnerabilidad ha sido publicada el 2025-07-01. No se ha añadido a KEV, pero la puntuación CVSS de 9.7 indica una alta probabilidad de explotación. La naturaleza de la vulnerabilidad, que permite la ejecución de comandos arbitrarios, la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente la situación y aplicar la actualización lo antes posible.
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Sunshine a la versión 2025.628.4510 o posterior, que incluye la protección CSRF necesaria. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sistema antes de actualizar. Como medida temporal, se puede implementar un Web Application Firewall (WAF) con reglas para bloquear solicitudes CSRF sospechosas, aunque esto no es una solución completa. Monitorear los registros de Sunshine en busca de solicitudes inusuales o comandos sospechosos también puede ayudar a detectar y prevenir ataques.
Actualice Sunshine a la versión 2025.628.4510 o posterior. Esta actualización corrige la vulnerabilidad CSRF que permite la inyección de comandos. Descargue la última versión desde el sitio web oficial de LizardByte o a través del mecanismo de actualización integrado en la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-53095 is a critical Cross-Site Request Forgery (CSRF) vulnerability in Sunshine, allowing attackers to execute arbitrary commands via the "Command Preparations" feature if you're using a version before 2025.628.4510.
You are affected if you are running Sunshine version 2025.628.4510 or earlier. Check your version using ./sunshine --version and upgrade immediately.
Upgrade Sunshine to version 2025.628.4510 or later. As a temporary workaround, restrict access to the web UI to trusted networks.
While no active campaigns have been publicly reported, the vulnerability's severity and ease of exploitation suggest it may become a target. Monitor your logs and apply the fix promptly.
Refer to the official Sunshine project website and GitHub repository for the latest security advisories and updates: [https://github.com/Sunshine-Project/Sunshine](https://github.com/Sunshine-Project/Sunshine)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.