CRITICAL🇬🇧 English

CVE-2025-65656

File inclusion w Dcat Admin — zdalne wykonanie kodu bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-12-02upd. 2025-12-03

Dcat Admin w wersji 2.2.3-beta i wcześniejszych zawiera podatność typu file inclusion w pliku admin/src/Extend/VersionManager.php. Podatność posiada krytyczny wynik CVSS 9.8 i może umożliwić atakującemu zdalne wykonanie kodu bez jakiegokolwiek uwierzytelnienia.

Pokaż oryginał (EN)

dcat-admin v2.2.3-beta and before is vulnerable to file inclusion in admin/src/Extend/VersionManager.php.

🤖 Analiza AI
Jak działa

Luka sklasyfikowana jako CWE-98 (PHP Remote File Inclusion) polega na nieprawidłowej kontroli nazwy pliku używanego w instrukcji include/require w pliku VersionManager.php. Atakujący może dostarczyć spreparowaną wartość wskazującą na zewnętrzny lub lokalny zasób, co skutkuje dołączeniem i wykonaniem niezaufanego kodu PHP. Ze względu na wektor sieciowy (AV:N) oraz brak wymagań dotyczących uprawnień (PR:N) i interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie przez nieuwierzytelnionego napastnika.

Skutki

Atakujący może osiągnąć pełną kompromitację serwera poprzez zdalne wykonanie dowolnego kodu (RCE), a także uzyskać dostęp do poufnych danych, zmodyfikować je lub doprowadzić do niedostępności aplikacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu (https://github.com/jqhph/dcat-admin) w celu uzyskania zaktualizowanej wersji oraz niezwłoczne wdrożenie poprawki. Do czasu zastosowania patcha rekomenduje się ograniczenie dostępu sieciowego do panelu administracyjnego Dcat Admin za pomocą firewall lub mechanizmów uwierzytelniania na poziomie infrastruktury.

Kogo dotyczy

Dcat Admin w wersji 2.2.3-beta oraz wszystkich wcześniejszych wersjach.

Uwagi

Szczegóły techniczne podatności dostępne są pod adresem: https://github.com/lznlol/operation-log/blob/main/CVE-2025-65656.md

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dcatadmin Dcat Admin

    APP
    Dcatadmin
    ≤ 1.7.92.0.0 – 2.2.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-0709MEDIUM5.1ten sam produkt

A vulnerability was found in Dcat-Admin 2.2.1-beta. It has been rated as problematic. This issue affects some ...

CVE-2024-54774MEDIUM4.8ten sam produkt

Dcat Admin v2.2.0-beta contains a cross-site scripting (XSS) vulnerability in /admin/articles/create.

CVE-2024-54775MEDIUM4.8ten sam produkt

Dcat-Admin v2.2.0-beta and v2.2.2-beta contains a Cross-Site Scripting (XSS) vulnerability via /admin/auth/men...

CVE-2024-29644MEDIUM6.1ten sam produkt

Cross Site Scripting vulnerability in dcat-admin v.2.1.3 and before allows a remote attacker to execute arbitr...

CVE-2023-33736MEDIUM5.4ten sam produkt

A stored cross-site scripting (XSS) vulnerability in Dcat-Admin v2.1.3-beta allows attackers to execute arbitr...