Vulnerabilidad en Crayfish (CVE-2025-25286)

Crayfish es una colección de microservicios de Islandora 8, uno de los cuales, Homarus, proporciona FFmpeg como microservicio. Antes de la versión 4.1.0 de Crayfish, la ejecución remota de código podía ser posible en instalaciones de Homarus accesibles desde la web en ciertas configuraciones. El problema se ha corregido en `islandora/crayfish:4.1.0`. Hay algunos workarounds disponibles. El exploit requiere realizar una solicitud contra el endpoint `/convert` de Homarus; por lo tanto, la capacidad de explotar se reduce mucho si el microservicio no es directamente accesible desde Internet, por lo tanto: Evite que el acceso general desde Internet llegue a Homarus. Como alternativa o adicionalmente, configure la autenticación en Crayfish para que sea más obligatoria, de modo que las solicitudes con encabezados `Authorization` que no validen se rechacen antes de que se produzca la interpolación de CLI problemática.