ScriptCase : chaîne de failles critiques (CVE‑2025‑47227/47228) menant à une RCE non authentifiée

Source : VulnCheck — Des chercheurs analysent une chaîne de vulnérabilités critiques affectant ScriptCase, permettant une exécution de code à distance (RCE) sans authentification. Malgré des correctifs disponibles et des exploits publics, des centaines d’instances demeurent exposées et des acteurs malveillants scannent activement Internet.

• Vulnérabilités: CVE-2025-47227 (réinitialisation de mot de passe non authentifiée via fixation de session et contournement de captcha) et CVE-2025-47228 (injection de commandes dans la fonctionnalité de test de connexion SSH au sein d’une bibliothèque ADOdb modifiée). 🔥

• Exploitation: La chaîne ne requiert que des requêtes HTTP basiques (ex. via curl), la rendant accessible à des attaquants peu qualifiés. Elle combine une prise de compte via reset de mot de passe puis une commande arbitraire côté serveur. 🧪

• Détection et défense: Le rapport fournit des règles Suricata pour la détection réseau, des pistes de surveillance de processus pour la détection hôte, ainsi que des techniques de scan de version pour repérer les instances vulnérables. 🛡️

• IOCs: Aucun indicateur spécifique (adresses IP, domaines, hachages) n’est fourni dans l’extrait.

• TTPs observés:

  • Réinitialisation de mot de passe non authentifiée via fixation de session et bypass de captcha
  • Injection de commandes dans le test de connexion SSH (librairie ADOdb modifiée)
  • Exploitation via HTTP/curl et reconnaissance active de cibles exposées

Type d’article: publication de recherche détaillant techniques d’exploitation, méthodes de détection et stratégies défensives pour les déploiements ScriptCase.

🔗 Source originale : https://www.vulncheck.com/blog/scriptcase-rce

🖴 Archive : https://web.archive.org/web/20250814092228/https://www.vulncheck.com/blog/scriptcase-rce