CRITICAL🇬🇧 English

CVE-2025-29708

Podatność file upload w SourceCodester Company Website CMS 1.0

CVSS 9.8v3.1pub. 2025-04-16upd. 2025-04-23

SourceCodester Company Website CMS w wersji 1.0 zawiera krytyczną podatność umożliwiającą nieautoryzowane przesyłanie plików przez funkcję 'Create Services'. Brak odpowiedniej walidacji przesyłanych plików pozwala atakującemu na zdalne wykonanie kodu na serwerze.

Pokaż oryginał (EN)

SourceCodester Company Website CMS 1.0 contains a file upload vulnerability via the "Create Services" file /dashboard/Services.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-73 (External Control of File Name or Path) występuje w module obsługi usług dostępnym pod ścieżką /dashboard/Services. Atakujący może przesłać złośliwy plik (np. webshell PHP) bez wymagania uwierzytelnienia, logowania ani interakcji ze strony użytkownika. Wektor ataku jest sieciowy, złożoność niska, co czyni exploitację trivialną.

Skutki

Udana eksploatacja umożliwia atakującemu zdalne wykonanie dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych, modyfikacji treści serwisu lub jego zniszczenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się wyłączenie lub ograniczenie dostępu do modułu /dashboard/Services oraz wdrożenie walidacji po stronie serwera dla przesyłanych plików (whitelist dozwolonych typów i rozszerzeń).

Kogo dotyczy

SourceCodester Company Website CMS w wersji 1.0

Uwagi

Podatność została udokumentowana przez badacza fupanc-w1n w repozytorium GitHub. Opis techniczny wraz z dowodem eksploitacji (proof-of-concept) jest publicznie dostępny pod adresami wskazanymi w referencjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Torrahclef Company Website Cms

    APP
    Torrahclef
    1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-29709CRITICAL9.8PL ✓ten sam produkt

Podatność File Upload w SourceCodester Company Website CMS 1.0

CVE-2025-13560MEDIUM5.5ten sam produkt

A vulnerability was found in SourceCodester Company Website CMS 1.0. This affects an unknown part of the file ...

CVE-2025-13561MEDIUM5.5ten sam produkt

A vulnerability was determined in SourceCodester Company Website CMS 1.0. This vulnerability affects unknown c...

CVE-2025-29710MEDIUM6.1ten sam produkt

SourceCodester Company Website CMS 1.0 is vulnerable to Cross Site Scripting (XSS) via /dashboard/Services.