CRITICAL🇬🇧 English

CVE-2025-32028

HAX CMS PHP — nierestrykcyjny upload plików (obejście denylisty)

CVSS 9.9v3.1pub. 2025-04-08upd. 2025-07-30

Aplikacja HAX CMS PHP pozwala na wgranie potencjalnie niebezpiecznych plików przez niedoskonały mechanizm blokowania oparty na denyliscie rozszerzeń. Podatność jest krytyczna, ponieważ umożliwia uwierzytelnionemu atakującemu zdalne wykonanie kodu na serwerze.

Pokaż oryginał (EN)

HAX CMS PHP allows you to manage your microsite universe with PHP backend. Multiple file upload functions within the HAX CMS PHP application call a ’save’ function in ’HAXCMSFile.php’. This save function uses a denylist to block specific file types from being uploaded to the server. This list is non-exhaustive and only blocks ’.php’, ’.sh’, ’.js’, and ’.css’ files. The existing logic causes the system to "fail open" rather than "fail closed." This vulnerability is fixed in 10.0.3.

🤖 Analiza AI
Jak działa

Funkcja 'save' w pliku 'HAXCMSFile.php' blokuje upload plików wyłącznie na podstawie denylisty, która obejmuje jedynie rozszerzenia '.php', '.sh', '.js' i '.css'. Lista ta jest niepełna i pomija wiele innych typów plików mogących prowadzić do wykonania kodu po stronie serwera. System działa według zasady 'fail open', tzn. w przypadku braku dopasowania do denylisty zezwala na upload zamiast go blokować. Atakujący z podstawowymi uprawnieniami może zatem wgrać plik wykonywalny o innym rozszerzeniu i uruchomić go na serwerze.

Skutki

Atakujący może uzyskać zdalne wykonanie kodu (RCE) na serwerze, co prowadzi do pełnego przejęcia systemu, wycieku poufnych danych oraz naruszenia integralności i dostępności aplikacji.

Mitygacja

Należy zaktualizować HAX CMS PHP do wersji 10.0.3, w której podatność została naprawiona. Zgodnie z opisem, poprawka adresuje zastąpienie podejścia denylisty bardziej restrykcyjną kontrolą dozwolonych typów plików (allowlist).

Kogo dotyczy

HAX CMS PHP (produkt Psu Haxcms-Php) — wersje wcześniejsze niż 10.0.3

Uwagi

Podatność wymaga posiadania konta w aplikacji (PR:L), jednak wektor sieciowy i brak interakcji użytkownika znacząco obniżają próg jej wykorzystania. Zakres ataku wykracza poza komponent podatny (S:C), co wpłynęło na ocenę CVSS 9.9.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Psu Haxcms PHP

    APP
    Psu
    9.0.0 – 10.0.3 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54378HIGH8.3ten sam produkt

HAX CMS allows you to manage your microsite universe with PHP or NodeJs backends. In versions 11.0.13 and belo...

CVE-2025-49141HIGH8.5ten sam produkt

HAX CMS PHP allows users to manage their microsite universe with a PHP backend. Prior to version 11.0.3, the `...

CVE-2025-49137HIGH8.5ten sam produkt

HAX CMS PHP allows users to manage their microsite universe with a PHP backend. Prior to version 11.0.0, the a...

CVE-2025-54139MEDIUM4.3ten sam produkt

HAX CMS allows users to manage their microsite universe with a NodeJS or PHP backend. In haxcms-nodejs version...

CVE-2025-53642MEDIUM4.8ten sam produkt

haxcms-nodejs and haxcms-php are backends for HAXcms. The logout function within the application does not term...