MITRE Caldera存在关键漏洞可致远程代码执行

据Cybersecuritynews消息，安全研究人员发现，MITRE Caldera在35bc06e之前的所有版本，都存在关键的远程代码执行漏洞（CVE-2025–27364），未经身份验证的攻击者有机会借此入侵系统。漏洞出在Caldera的Sandcat和Manx代理的动态编译机制中，因为其动态编译端点缺乏身份验证，攻击者可利用Go 链接器标志的不当处理，借助GCC功能绕过防御，实现任意命令执行。目前已发布PoC。MITRE紧急建议，将Caldera更新至v5.1.0或更高版本，隔离服务器，移除生产系统中不必要的构建工具。