CRITICAL🇬🇧 English

CVE-2025-7063

Unrestricted File Upload w PAD CMS umożliwiający RCE

CVSS 10.0v4.0pub. 2025-09-30upd. 2025-11-26

PAD CMS firmy Widzialni zawiera krytyczną podatność typu unrestricted file upload (CWE-434), która pozwala nieuwierzytelnionemu atakującemu na wgranie pliku dowolnego typu i uruchomienie go na serwerze. Podatność jest szczególnie niebezpieczna, ponieważ produkt osiągnął status End-Of-Life i producent nie opublikuje dla niej żadnej łatki.

Pokaż oryginał (EN)

Due to client-controlled permission check parameter, PAD CMS's file upload functionality allows an unauthenticated remote attacker to upload files of any type and extension without restriction, which can then be executed leading to Remote Code Execution. This issue affects all 3 templates: www, bip and ww+bip. This product is End-Of-Life and producent will not publish patches for this vulnerability.

🤖 Analiza AI
Jak działa

Mechanizm sprawdzania uprawnień podczas przesyłania plików jest kontrolowany po stronie klienta, co oznacza, że atakujący może zmodyfikować parametr odpowiedzialny za weryfikację uprawnień i ominąć wszelkie ograniczenia. W efekcie możliwe jest wgranie pliku dowolnego rozszerzenia — w tym wykonywalnych skryptów — bez konieczności posiadania jakiegokolwiek konta w systemie. Po wgraniu takiego pliku atakujący może doprowadzić do jego wykonania po stronie serwera, uzyskując zdalną kontrolę nad systemem (RCE). Problem dotyczy wszystkich trzech szablonów systemu: www, bip oraz ww+bip.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać pełną zdalną kontrolę nad serwerem (RCE), w tym możliwość wykonywania dowolnych poleceń, przejęcia danych oraz dalszego ruchu w sieci wewnętrznej (lateral movement).

Mitygacja

Producent nie opublikuje patchy dla tej podatności z uwagi na status End-Of-Life produktu. Zaleca się natychmiastowe wyłączenie lub odizolowanie instancji PAD CMS od sieci publicznej oraz migrację do aktywnie wspieranego systemu. W ramach doraźnych środków zaradczych należy rozważyć blokadę dostępu do funkcjonalności upload na poziomie firewall lub serwera WWW oraz wdrożenie restrykcyjnej kontroli dostępu do katalogów z plikami wgranymi przez użytkowników.

Kogo dotyczy

Widzialni PAD CMS — wszystkie trzy szablony: www, bip oraz ww+bip. Produkt jest oznaczony jako End-Of-Life.

Uwagi

Podatność została opublikowana przez CERT Polska (cert.pl). Produkt jest End-Of-Life — producent oficjalnie potwierdził brak planów wydania poprawki bezpieczeństwa.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Widzialni Pad Cms

    APP
    Widzialni
    ≤ 1.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-7065CRITICAL10.0PL ✓ten sam produkt

PAD CMS – nieograniczony upload plików prowadzący do RCE

CVE-2025-8120CRITICAL10.0PL ✓ten sam produkt

Unrestricted File Upload z RCE w Widzialni PAD CMS (brak uwierzytelnienia)

CVE-2025-8122HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...

CVE-2025-8117HIGH8.7ten sam produkt

PAD CMS improperly initializes parameter used for password recovery, which allows to change password for any u...

CVE-2025-8121HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...