Podatność w systemie PAD CMS firmy Widzialni umożliwia nieuwierzytelnionemu atakującemu przesłanie pliku dowolnego typu i rozszerzenia poprzez funkcję uploadu zdjęć, a następnie jego wykonanie na serwerze. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest szczególnie groźna ze względu na brak możliwości uzyskania patcha – produkt osiągnął status End-Of-Life.
▸ Pokaż oryginał (EN)
Due to client-controlled permission check parameter, PAD CMS's photo upload functionality allows an unauthenticated remote attacker to upload files of any type and extension without restriction, which can then be executed leading to Remote Code Execution. This issue affects all 3 templates: www, bip and ww+bip. This product is End-Of-Life and producent will not publish patches for this vulnerability.
Funkcja uploadu zdjęć w PAD CMS opiera się na parametrze kontrolowanym po stronie klienta, który odpowiada za weryfikację uprawnień do przesyłania plików. Atakujący może zmodyfikować ten parametr, całkowicie omijając mechanizm sprawdzania uprawnień. W efekcie możliwe jest przesłanie pliku dowolnego typu i rozszerzenia (np. skryptu webshell) bez żadnych ograniczeń ani konieczności uwierzytelnienia. Przesłany plik może następnie zostać wykonany na serwerze, co prowadzi do Remote Code Execution.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych, instalacji backdoorów lub dalszego lateral movement w sieci organizacji.
Producent nie wyda poprawki – produkt jest w statusie End-Of-Life. Zaleca się natychmiastowe wyłączenie lub odizolowanie instancji PAD CMS od sieci publicznej, migrację do alternatywnego, wspieranego rozwiązania oraz zastosowanie mechanizmów kontroli dostępu na poziomie infrastruktury (np. firewall, WAF). Szczegóły dostępne w referencjach: https://cert.pl/posts/2025/09/CVE-2025-7063
Wszystkie wersje PAD CMS firmy Widzialni we wszystkich trzech szablonach: www, bip oraz ww+bip.
Produkt jest End-Of-Life – producent oficjalnie potwierdził, że nie zostanie wydany żaden patch. Podatność dotyczy wszystkich trzech szablonów systemu: www, bip i ww+bip. Informacja o podatności pochodzi z CERT Polska.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWidzialni Pad Cms
APPWidzialni≤ 1.2.1
Powiązane podatności
Unrestricted File Upload w PAD CMS umożliwiający RCE
Unrestricted File Upload z RCE w Widzialni PAD CMS (brak uwierzytelnienia)
Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...
PAD CMS improperly initializes parameter used for password recovery, which allows to change password for any u...
Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...