CRITICAL🇬🇧 English

CVE-2025-67288

Umbraco CMS — arbitrary file upload umożliwiający RCE przez plik PDF

CVSS 10.0v3.1pub. 2025-12-22upd. 2026-07-05

W Umbraco CMS v16.3.3 odkryto podatność umożliwiającą przesłanie dowolnego pliku (CWE-434), która pozwala atakującemu wykonać arbitralny kod poprzez spreparowany plik PDF. Należy zaznaczyć, że producent (Umbraco) kwestionuje tę podatność, wskazując, że odpowiedzialność za walidację przesyłanych plików spoczywa na administratorze systemu wdrażającym CMS, a nie na samym produkcie.

Pokaż oryginał (EN)

An arbitrary file upload vulnerability in Umbraco CMS v16.3.3 allows attackers to execute arbitrary code by uploading a crafted PDF file. NOTE: this is disputed by the Supplier because the responsibility for file validation (as shown in the documentation) belongs to the system administrator who is implementing Umbraco CMS in their environment, not to Umbraco CMS itself, a related issue to CVE-2023-49279.

🤖 Analiza AI
Jak działa

Atakujący przesyła spreparowany plik z rozszerzeniem PDF, który zawiera złośliwy kod wykonywalny. Mechanizm przesyłania plików w Umbraco CMS nie wymusza po stronie samej platformy odpowiedniej walidacji typów i zawartości plików — według producenta konfiguracja tej walidacji jest zadaniem administratora środowiska. Przesłany plik może zostać następnie wykonany po stronie serwera, prowadząc do RCE.

Skutki

Skuteczne wykorzystanie podatności może pozwolić nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze (RCE), co potencjalnie skutkuje pełnym przejęciem kontroli nad systemem, wyciekiem danych oraz naruszeniem integralności i dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Niezależnie od sporu co do odpowiedzialności, administratorzy powinni wdrożyć po stronie serwera rygorystyczną walidację typów przesyłanych plików (weryfikację nagłówków MIME, rozszerzeń i zawartości), ograniczyć uprawnienia do przesyłania plików wyłącznie do zaufanych użytkowników oraz skonfigurować serwer WWW tak, aby uniemożliwiał wykonywanie skryptów w katalogach przeznaczonych na pliki użytkowników.

Kogo dotyczy

Umbraco CMS v16.3.3 (podatność zgłoszona dla tej wersji; producent kwestionuje jej zasadność)

Uwagi

Producent (Umbraco) oficjalnie kwestionuje tę podatność, wskazując że walidacja plików jest obowiązkiem administratora wdrażającego system, a nie samego Umbraco CMS. Podatność jest powiązana z wcześniejszym CVE-2023-49279. Mimo kwestionowania przez producenta, CVSS został oceniony na 10.0 przez zgłaszającego. Administratorzy powinni samodzielnie ocenić ryzyko w swoim środowisku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Umbraco Cms

    APP
    Umbraco
    16.3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2012-10054CRITICAL9.3PL ✓ten sam produkt

Umbraco CMS – nieuwierzytelniony RCE przez upload pliku ASPX

CVE-2014-10074CRITICAL9.8ten sam produkt

Umbraco before 7.2.0 has a remote PHP code execution vulnerability because Umbraco.Web.UI/config/umbracoSettin...

CVE-2012-1301CRITICAL9.8ten sam produkt

The FeedProxy.aspx script in Umbraco 4.7.0 allows remote attackers to proxy requests on their behalf via the "...

CVE-2026-31834HIGH7.2ten sam produkt

Umbraco is an ASP.NET CMS. From 15.3.1 to before 16.5.1 and 17.2.2, A privilege escalation vulnerability has b...

CVE-2025-32017HIGH8.8ten sam produkt

Umbraco is a free and open source .NET content management system. Authenticated users to the Umbraco backoffic...