Vulnerabilidades críticas en FileZen 2026
Vulnerabilidad crítica - 25/02
Introducción
CVE-2026-25108 es una vulnerabilidad de inyección de comandos en el sistema operativo (OS Command Injection) que afecta al producto FileZen, una solución de transferencia de archivos ampliamente usada en entornos empresariales para intercambiar datos sensibles. La vulnerabilidad existe dentro de la funcionalidad de verificación antivirus de FileZen, ya que, cuando esta opción está habilitada, el software no valida correctamente ciertos parámetros entrantes de una solicitud HTTP y un atacante autenticado puede enviar una petición especialmente manipulada que resulta en la ejecución de comandos de sistema operativo no autorizados en el servidor vulnerable.
Análisis
CVE-2026-25108 - CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8,8
El origen técnico de CVE-2026-25108 se encuentra en la funcionalidad de verificación antivirus. Cuando esta opción está habilitada, el sistema recibe ciertos parámetros relacionados con el archivo que debe analizar y, a partir de ellos, genera un comando que se ejecuta en el sistema operativo del servidor. El error consiste en que esos parámetros se insertan directamente en el comando sin neutralizar caracteres especiales propios del intérprete de comandos, como separadores u operadores de ejecución encadenada. Si un atacante introduce de forma intencionada uno de esos caracteres dentro del parámetro enviado, puede alterar la estructura del comando original y añadir instrucciones adicionales.
El atacante necesita autenticarse con una cuenta válida. Una vez dentro, envía una petición manipulada a la funcionalidad vulnerable. Debido a la ausencia de controles adecuados de validación, el servidor interpreta el parámetro modificado como parte del comando legítimo y lo ejecuta. Esto permite al atacante ejecutar instrucciones arbitrarias en el sistema con los mismos permisos que tenga el proceso de FileZen.
El impacto depende directamente de los privilegios con los que se ejecute el servicio. Si el proceso tiene permisos elevados, el atacante podría acceder a archivos sensibles, modificar configuraciones, instalar herramientas de persistencia o incluso utilizar el servidor como punto de apoyo para moverse lateralmente dentro de la red corporativa. Incluso con privilegios más limitados, la capacidad de ejecutar comandos arbitrarios representa un riesgo significativo para la confidencialidad, integridad y disponibilidad del sistema.
Versiones afectadas
Versiones 4.2.1 a 4.2.8 y 5.0.0 a 5.0.10.
Recomendaciones
Actualizar FileZen a la versión 5.0.11 o superior, donde la vulnerabilidad ha sido corregida por el proveedor.
Workarounds
No hay workarounds para esta vulnerabilidad.