En allvarlig fjärrkörning av kod-sårbarhet i Imunify360 AV har lagats, vilket påverkar ett säkerhetsverktyg som skyddar cirka 56 miljoner Linux-värdade webbplatser. Upptäckt i produktens deobfuskationslogik tillåter felet angripare att köra godtyckliga kommandon och potentiellt ta kontroll över värdservrar. CloudLinux släppte en fix den 21 oktober 2025, även om ingen formell CVE eller varning följde.
Imunify360 AV, även känt som AI-Bolit, är en malware-skanner som används brett för att skydda webbplatser från hot. Säkerhetsforskare från Patchstack identifierade en kritisk fjärrkörning av kod (RCE)-fel i versioner före 32.7.4.0. Sårbarheten härrör från bristfällig deobfuskationslogik som analyserar skadlig PHP-kod, vilket gör det möjligt för angripare att skapa speciellt kodade filer som utlöser skadliga funktioner under skanning.
Dessa funktioner inkluderar system(), exec(), shell_exec(), passthru() och eval(), vilket tillåter godtycklig kommandokörning. Eftersom skannern körs med root-privilegier som standard kan utnyttjande leda till full serverövertagande. Denna risk förstärks i delade värdmiljöer, där kompromettering av en webbplats kan ge tillgång till alla webbplatser på servern genom laterell rörelse.
Problemet påverkar deobfuskation som är aktiverad över alla skanntyper, inklusive bakgrund, på begäran och snabba kontosskanningar. Två specifika kodflöden är problematiska: Eval-Hex-mönstret, som matchar hex-kodade funktionsnamn, och Delta/Ord-flödet, som bearbetar strängar via Helpers::executeWrapper utan säkerhetskontroller. Angripare använder avancerade ofuskationstekniker, såsom hex-escapes, packade payloads, base64/gzinflate-kedjor och anpassade transformationer, för att undvika initial detektion tills deobfuskation sker.
Detaljer om sårbarheten dök upp i slutet av oktober 2025, med utnyttjandinformation som cirkulerade runt den tiden. CloudLinux lagade det den 21 oktober 2025 och dokumenterade det tyst på sin Zendesk-support sida den 4 november 2025. Inget CVE-identifierare har tilldelats, och företaget har inte utfärdat en formell säkerhetsvarning. Den uppskattade CVSS-poängen är 8.2, vilket understryker dess allvar. Detta är den andra kritiska RCE:n i Imunify360, efter en incident 2021 rapporterad av Talos Intelligence.
Värdleverantörer uppmanas att omedelbart uppgradera till version 32.7.4.0 eller senare och utföra forensiska undersökningar för tecken på kompromiss. Om lagning fördröjs bör administratörer isolera skannern i containrar med minimala privilegier och ingen nätverksåtkomst. Kontakta CloudLinux-support rekommenderas för verifiering och vägledning.