CVE-2025-34073

Nome do Software Vulnerável e Versões Afetadas: Versões do Maltrail <= 0.54

Descrição: Existe uma vulnerabilidade de injeção de comando não autenticada, permitindo que um atacante remoto execute comandos arbitrários do sistema operacional através do parâmetro username em uma requisição POST para o endpoint "/login". Isso ocorre devido ao tratamento inseguro de entradas fornecidas pelo usuário passadas para subprocess.check output() em core/http.py, possibilitando a injeção de metacaracteres de shell. A exploração não requer autenticação e os comandos são executados com os privilégios do processo do Maltrail.

Recomendações: Para as versões do Maltrail <= 0.54, como solução temporária, considere desativar a função subprocess.check output() em core/http.py ou restringir o acesso ao endpoint "/login" até que uma correção esteja disponível. Evite utilizar o parâmetro username no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.