CRITICAL🇬🇧 English

CVE-2025-44071

RCE w SeaCMS v13.3 przez komponent phomebak.php

CVSS 9.8v3.1pub. 2025-05-05upd. 2025-05-13

W systemie zarządzania treścią SeaCMS w wersji 13.3 odkryto krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) przez komponent phomebak.php. Atakujący niewymagający uwierzytelnienia może wykonać dowolny kod na serwerze, co stanowi poważne zagrożenie dla integralności i dostępności systemu.

Pokaż oryginał (EN)

SeaCMS v13.3 was discovered to contain a remote code execution (RCE) vulnerability via the component phomebak.php. This vulnerability allows attackers to execute arbitrary code via a crafted request.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznego przetwarzania danych wejściowych w komponencie phomebak.php, sklasyfikowanego jako CWE-94 (improper control of code generation). Atakujący może wysłać specjalnie spreparowane żądanie HTTP do podatnego endpointu, które prowadzi do wykonania arbitralnego kodu po stronie serwera. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co czyni podatność szczególnie niebezpieczną.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na pełne przejęcie kontroli nad serwerem — odczyt, modyfikację i usunięcie danych, instalację złośliwego oprogramowania oraz potencjalny lateral movement w obrębie sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do podatnego komponentu phomebak.php na poziomie firewalla lub serwera WWW oraz monitorowanie podejrzanych żądań HTTP kierowanych do tego endpointu.

Kogo dotyczy

SeaCMS w wersji 13.3

Uwagi

Szczegółowy opis techniczny podatności wraz z dowodem koncepcji (PoC) dostępny jest publicznie w referencjach na platformie GitHub (https://github.com/202110420106/CVE/blob/master/seacms/seacms_rce.md), co zwiększa ryzyko aktywnego wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Seacms

    APP
    Seacms
    13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-44073CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_comment_news.php

CVE-2025-44074CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_topic.php

CVE-2025-44072CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_manager.php

CVE-2025-29647CRITICAL9.8PL ✓ten sam produkt

SQL injection w SeaCMS v13.3 — komponent admin_tempvideo.php

CVE-2025-25520CRITICAL9.8PL ✓ten sam produkt

SQL Injection w SeaCMS — podatny plik admin_pay.php

CVE-2025-44071 — RCE w SeaCMS v13.3 przez komponent phomebak.php — CRITICAL 9.8 | CVEbaza.pl