Se ha descubierto una vulnerabilidad de seguridad crítica en Larecipe, una herramienta popular generador de documentación que se ha descargado más de 2.3 millones de veces.
La vulnerabilidad, identificada como CVE-2025-53833Permite a los atacantes ejecutar comandos arbitrarios en los servidores a través de la inyección de plantilla del lado del servidor (SSTI), lo que puede conducir al compromiso completo del sistema.
Esta falla crítica afecta a todas las versiones del paquete BinaryTorch/Larecipe Composer antes de la versión 2.8.1.
Control de llave
1. Vulnerabilidad SSTI crítica (CVE-2025-53833) en la herramienta Larecipe (2.3m+ descargas) habilita la ejecución del código remoto.
2. Los atacantes pueden ejecutar comandos y acceder a datos confidenciales sin autenticación.
3. Todas las versiones <2.8.1 afectadas - Calificación de gravedad máxima de CVSS con explotación basada en la red.
4. Se requiere una actualización inmediata a V2.8.1 para parchear la falla de seguridad crítica.
Falla de ejecución de código remoto de SSTI
Girub informes que la vulnerabilidad proviene de la validación de entrada inadecuada en el sistema de procesamiento de plantillas de Larecipe, lo que permite a los atacantes inyectar código malicioso en plantillas del lado del servidor.
La inyección de la plantilla del lado del servidor ocurre cuando la entrada del usuario está integrada en los motores de plantilla sin la desinfección adecuada, lo que permite a los atacantes ejecutar el código arbitrario en el servidor de destino.
A esta vulnerabilidad particular se le ha asignado una calificación de gravedad crítica con una puntuación base CVSS V3.1 que refleja el máximo impacto a través de la confidencialidad, la integridad y las métricas de disponibilidad.
El vector de ataque se clasifica como basado en la red con baja complejidad, no requiere privilegios ni interacción del usuario para explotar.
El alcance de la vulnerabilidad se marca como se cambió, lo que indica que la explotación exitosa puede afectar los recursos más allá del componente vulnerable en sí.
Los investigadores de seguridad han confirmado que la falla permite a los atacantes acceder a variables de entorno confidenciales, ejecutar comandos del sistema y potencialmente escalar su acceso según la configuración del servidor.
Factores de riesgo Los productos afectados por el riesgo BinaryTorch/Larecipe (paquete compositor) Todas las versiones <2.8.1ImpActremote Ejecución del código (RCE) Explotan los requisitos previos- Acceso a la red a la instalación de Larecipe vulnerable: no se requiere autenticación, no se necesita interacción de usuario: complejidad de bajo ataque de bajo ataques.
Mitigaciones
Se recomienda encarecidamente a los usuarios que actualicen a Larecipe versión 2.8.1 inmediatamente, que contiene parches que abordan la vulnerabilidad SSTI.
El equipo de desarrollo ha confirmado que todas las versiones por debajo de 2.8.1 siguen siendo vulnerables a este defecto de seguridad crítico.
Las organizaciones deben priorizar esta actualización como un parche de seguridad de emergencia debido a la naturaleza crítica de la vulnerabilidad y la facilidad de explotación.
Los administradores del sistema deben implementar medidas de seguridad adicionales, incluida la validación de entrada, las configuraciones de seguridad del motor de plantilla y la segmentación de red, para minimizar la exposición.
Los equipos de seguridad también deben monitorear cualquier indicador de compromiso y realizar evaluaciones de seguridad exhaustivas de los sistemas que anteriormente ejecutan versiones de Larecipe vulnerables.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
