Plataforma
other
Componente
markus
Corregido en
2.9.2
CVE-2026-25057 es una vulnerabilidad de ejecución remota de código (RCE) que afecta a MarkUs, una aplicación web para la entrega y calificación de tareas de estudiantes. Esta falla permite a instructores, al subir un archivo ZIP para crear una tarea a partir de una configuración exportada, escribir archivos arbitrarios en el servidor debido a la falta de validación en los nombres de los archivos dentro del ZIP. La vulnerabilidad afecta a versiones de MarkUs anteriores o iguales a 2.9.1 y ha sido solucionada en la versión 2.9.1.
Un atacante puede explotar esta vulnerabilidad subiendo un archivo ZIP malicioso con nombres de archivos cuidadosamente diseñados. Estos nombres de archivos permiten al atacante controlar la ruta de destino donde se escribirán los archivos en el sistema de archivos del servidor. Esto podría resultar en la ejecución de código arbitrario en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos almacenados en MarkUs y potencialmente en otros sistemas conectados. El impacto es significativo, ya que un atacante podría obtener acceso completo al servidor, robar información sensible de los estudiantes y profesores, o incluso utilizar el servidor como punto de partida para ataques a otros sistemas dentro de la red.
Esta vulnerabilidad ha sido publicada el 2026-02-09. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de RCE la convierte en un objetivo atractivo para atacantes. La puntuación CVSS de 9.1 (CRÍTICO) indica una alta probabilidad de explotación si se encuentra un atacante con el conocimiento y los recursos necesarios. No se ha añadido a KEV al momento de esta redacción.
Educational institutions and organizations using MarkUs for assignment submission and grading are at risk. Specifically, instructors with upload privileges are the primary targets. Shared hosting environments where multiple MarkUs instances are deployed on the same server could amplify the impact, as a compromise of one instance could potentially lead to the compromise of others.
• linux / server: Monitor MarkUs server logs for unusual file creation activity, particularly in directories related to assignment uploads. Use journalctl -f -u markus to monitor the MarkUs service logs for suspicious entries.
grep -i 'upload' /var/log/markus/markus.log | grep -i 'path' • generic web: Monitor web server access logs for requests containing suspicious file names or extensions related to assignment uploads. Check for unusual file creation timestamps in the MarkUs assignment directories.
disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar MarkUs a la versión 2.9.1 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de los nombres de los archivos al cargar archivos de configuración ZIP. Esto debe incluir la verificación de que los nombres de los archivos no contengan caracteres especiales o secuencias de escape que puedan ser utilizadas para manipular la ruta de destino. Además, se recomienda restringir los permisos de escritura en el directorio de carga de archivos a solo el usuario de MarkUs. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los nombres de archivo no se utilizan para determinar la ruta de escritura.
Actualice MarkUs a la versión 2.9.1 o superior. Esta versión corrige la vulnerabilidad de Zip Slip que permite la ejecución remota de código (RCE). La actualización evitará que archivos maliciosos sobrescriban archivos del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25057 is a critical Remote Code Execution vulnerability in MarkUs versions 2.9.1 and earlier. It allows attackers to execute arbitrary code by uploading malicious ZIP files during assignment creation.
Yes, if you are using MarkUs version 2.9.1 or earlier, you are affected by this vulnerability. Upgrade to version 2.9.1 to mitigate the risk.
The recommended fix is to upgrade MarkUs to version 2.9.1 or later. If upgrading is not immediately possible, restrict file upload privileges and implement strict input validation.
While no public exploits are currently known, the vulnerability's nature suggests a high likelihood of exploitation. It's crucial to apply the patch promptly.
Refer to the official MarkUs security advisory for detailed information and updates: [https://markus.byu.edu/security/advisories](https://markus.byu.edu/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.