PT-2025-29170 · Unknown · Meshtastic

Yaniv-Git

·

Publicado

2025-07-10

·

Atualizado

2025-07-11

·

CVE-2025-53637

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas: Versões do Meshtastic anteriores à 2.6.6
Descrição: O Meshtastic é uma solução de rede mesh de código aberto. A GitHub Action main matrix.yml é acionada pelo evento pull request target, que possui permissões extensas e pode ser iniciada por um atacante que fez um fork do repositório e criou um pull request. Na parte de execução de código shell, entradas controladas pelo usuário são interpoladas de forma insegura no código. Se explorada, atacantes poderiam injetar código não autorizado no repositório.
Recomendações: Atualize para a versão 2.6.6 ou posterior.

Exploit

Correção

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2025-53637
GHSA-6MWM-V2VV-PP96

Produtos afetados

Meshtastic