Peneliti cybersecurity telah mengungkapkan beberapa cacat keamanan dalam versi on-premise dari perangkat lunak pendukung TI SYSAID yang dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh yang telah di-autentikasi dengan hak istimewa yang ditinggikan.
Kerentanan, dilacak sebagai CVE-2025-2775, CVE-2025-2776, dan CVE-2025-2777, semuanya telah digambarkan sebagai suntikan XML External Entity (XXE), yang terjadi ketika penyerang dapat berhasil mengganggu parsing aplikasi XML input.
Ini, pada gilirannya, dapat mengizinkan penyerang untuk menyuntikkan entitas XML yang tidak aman ke dalam aplikasi web, memungkinkan mereka untuk melakukan serangan pemalsuan permintaan sisi server (SSRF) dan dalam kasus terburuk, eksekusi kode jarak jauh.
Deskripsi tiga kerentanan, menurut peneliti Watchtowr Labs Sina Kheirkhah dan Jake Knott, adalah sebagai berikut –
- CVE-2025-2775 dan CVE-2025-2776-XXE pra-autentikasi dalam titik akhir /mdm /checkin
- CVE-2025-2777-XXE pra-authentikasi dalam titik akhir /LSHW
Watchtowr Labs menggambarkan kerentanan sebagai hal sepele untuk dieksploitasi melalui permintaan HTTP Post yang dibuat khusus ke titik akhir yang dimaksud.
Eksploitasi kelemahan yang berhasil dapat memungkinkan penyerang untuk mengambil file lokal yang berisi informasi sensitif, termasuk file “initaccount.cmd” Sysaid sendiri, yang berisi informasi tentang nama pengguna akun administrator dan kata sandi plaintext yang dibuat selama instalasi.
Berbekal informasi ini, penyerang kemudian dapat memperoleh akses administratif penuh ke Sysaid sebagai pengguna prajurit administrator.
Lebih buruk lagi, cacat XXE dapat dirantai dengan kerentanan injeksi perintah sistem operasi lainnya-ditemukan oleh pihak ketiga-untuk mencapai eksekusi kode jarak jauh. Masalah injeksi perintah telah diberikan pengidentifikasi CVE CVE-2025-2778.
Keempat kerentanan telah diperbaiki oleh Sysaid dengan rilis versi on-premise 24.4.60 B16 pada awal Maret 2025. Eksploitasi Proof-of-Concept (POC) yang menggabungkan empat kerentanan telah tersedia.
Dengan kelemahan keamanan di Sysaid (CVE-2023-47246) yang sebelumnya dieksploitasi oleh aktor ransomware seperti CL0P dalam serangan nol-hari, sangat penting bahwa pengguna memperbarui contoh mereka ke versi terbaru.
