Plateforme
linux
Composant
zimaos
Corrigé dans
1.5.1
La vulnérabilité CVE-2025-64427 est une faille de type SSRF (Server-Side Request Forgery) découverte dans ZimaOS, un système d'exploitation dérivé de CasaOS. Cette faille permet à un utilisateur local authentifié de formuler des requêtes ciblant des adresses IP internes, contournant ainsi les restrictions d'accès. Elle affecte les versions de ZimaOS inférieures ou égales à 1.5.0 et, à ce jour, aucun correctif officiel n'est disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant d'interagir avec des services HTTP/HTTPS internes qui ne sont pas censés être exposés, même aux utilisateurs locaux. Cela peut inclure l'accès à des bases de données, des panneaux d'administration internes, ou d'autres services critiques. L'attaquant peut potentiellement extraire des informations sensibles, modifier des configurations, ou même compromettre d'autres systèmes sur le réseau interne. Bien que l'exploitation nécessite une authentification locale, elle représente un risque significatif pour les environnements où la sécurité interne est compromise ou où des comptes d'utilisateurs sont mal protégés.
Cette vulnérabilité a été publiée le 2026-03-02. Aucune preuve d'exploitation active n'est actuellement disponible, ni de PoC public. Elle n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en raison de l'absence de PoC et de la nécessité d'une authentification locale.
Organizations and individuals deploying ZimaOS in environments with sensitive internal services are at risk. This includes users who have not yet upgraded to version 1.5.0 and those who have not implemented compensating controls such as network segmentation or WAF rules to restrict outbound traffic.
• linux / server:
journalctl -u zimaos | grep -i "internal ip address"• linux / server:
ps aux | grep -i "internal ip address"• generic web:
curl -I http://<zimaos_ip>/internal_service_endpoint• generic web:
grep -i "internal ip address" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
En l'absence d'un correctif officiel, plusieurs mesures d'atténuation peuvent être mises en œuvre. Il est crucial de renforcer la validation des URL entrantes pour empêcher la formulation de requêtes vers des adresses IP internes. L'utilisation d'un proxy inverse ou d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes. De plus, la configuration de règles de pare-feu pour restreindre l'accès aux services internes uniquement aux adresses IP autorisées est fortement recommandée. Surveillez attentivement les journaux d'accès pour détecter des tentatives d'exploitation suspectes.
Mettez à jour ZimaOS à la version 1.5.0 ou ultérieure. Cette version contient la correction pour la vulnérabilité SSRF. Aucun correctif n'est disponible pour les versions antérieures.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64427 is a Server-Side Request Forgery vulnerability in ZimaOS versions prior to 1.5.0, allowing attackers to target internal IP addresses.
You are affected if you are running ZimaOS version 1.5.0 or earlier and have not implemented mitigating controls.
Upgrade ZimaOS to version 1.5.0 or later. Consider temporary workarounds like firewall rules or WAF configuration if immediate upgrade is not possible.
Currently, there are no known active exploits or campaigns targeting this vulnerability, but it remains a potential risk.
Refer to the official ZimaOS documentation and security advisories on their website for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.