Alerte Sécurité 2025 : Vulnérabilité critique d’exécution de commande dans Atheos IDE (CVE-2025-49008)

Une faille critique a été découverte dans Atheos IDE, un environnement de développement web open source et auto-hébergé. Cette vulnérabilité, identifiée sous le numéro CVE-2025-49008, affecte toutes les versions antérieures à Atheos 6.0.4.

Description de la vulnérabilité

Cette vulnérabilité permet l’exécution arbitraire de commandes système via une mauvaise utilisation de la fonction PHP escapeshellcmd() dans le composant codegit (/components/codegit/traits/execute.php).

Le problème est classé sous la CWE-77 : Command Injection, car la fonction censée neutraliser les entrées utilisateur est utilisée de manière inadéquate, permettant aux arguments malveillants d’être interprétés par le shell.

Versions concernées

Toutes les versions antérieures à 6.0.4 sont vulnérables. Le projet a publié un correctif dans la version 6.0.4 qui remplace la fonction incriminée par une exécution sécurisée via Common::safe_execute(), utilisant escapeshellarg().

Impact et risques

• Exécution de commandes arbitraires sur le serveur
• Prise de contrôle totale de l’environnement Atheos
• Éventuelle escalade de privilèges et compromission du système d’exploitation
• Risque de propagation vers d’autres systèmes internes via scripts injectés

Score de Sévérité (CVSS v4.0)

• Score : 9.4 / 10 (Critique)
• Vecteur : Attaque via le réseau
• Privilèges requis : Élevés
• Interaction utilisateur : Aucune

Recommandations

• Mettez à jour Atheos vers la version 6.0.4 immédiatement.
• Limitez les droits des utilisateurs avec des rôles d’administration.
• Surveillez les accès SSH et les journaux d’activité système pour toute anomalie.
• Déployez des outils de détection d'intrusion (IDS) pour bloquer les activités inhabituelles.

Sources officielles et ressources complémentaires

• Fiche CVE officielle
• Analyse NVD
• GitHub Security Advisory
• Commit correctif
• CWE-77: Command Injection

Même les outils destinés aux développeurs doivent faire l’objet d’un audit régulier. Une simple faille dans une fonction mal utilisée peut compromettre l’ensemble de votre infrastructure.