Ejecución Remota de Código (RCE) en Apple Compressor
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) emite una alerta CRÍTICA sobre una vulnerabilidad de alta severidad que afecta al software de procesamiento de video profesional Apple Compressor.
La falla, identificada como CVE-2025-43515, alcanza una puntuación de 8.8 en CVSS v3.1 y permite la Ejecución Remota de Código (RCE). Un atacante no autenticado, que se encuentre en la misma red local que un sistema que ejecuta Compressor (generalmente un servidor de producción de medios), puede conectarse al servicio y ejecutar código arbitrario en el sistema afectado.
La explotación de esta vulnerabilidad puede resultar en el compromiso total del host de Compressor.
Detalles Técnicos de la Vulnerabilidad
| Atributo | Detalle |
| Identificador CVE | CVE-2025-43515 |
| Puntuación CVSS v3.1 | 8.8 (ALTA) |
| Tipo de Falla | Control de Acceso Insuficiente (Improper Access Control). |
| Mecanismo | El servicio de Compressor expuesto en la red local no valida o restringe correctamente las conexiones entrantes, lo que permite a un atacante enviar comandos maliciosos. |
| Vector de Ataque | Remoto, No Autenticado, pero restringido a la Red de Área Local (LAN). |
| Impacto Potencial | Ejecución de Código Arbitrario (RCE) con los privilegios del servicio, lo que puede llevar al control total del sistema. |
Productos Afectados
| Producto Afectado | Versiones Vulnerables | Recomendación URGENTE |
| Apple Compressor | Versiones desde 4.0.1 hasta 4.11 | Actualizar inmediatamente a la versión 4.12 o posterior (disponible a través de la Mac App Store o el sitio de soporte de Apple). |
Recomendación
Actualización Obligatoria: Instale la versión 4.12 de Apple Compressor lo antes posible.
Referencias Oficiales
- Aviso de Soporte de Apple: https://support.apple.com/es-lamr/125693
- Detalle del CVE (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-43515
CSIRT-UC