CRITICAL🇬🇧 English

CVE-2025-8120

Unrestricted File Upload z RCE w Widzialni PAD CMS (brak uwierzytelnienia)

CVSS 10.0v4.0pub. 2025-09-30upd. 2025-11-26

Podatność w systemie PAD CMS firmy Widzialni umożliwia nieuwierzytelnionemu atakującemu wgranie pliku dowolnego typu i rozszerzenia przez funkcję uploadu zdjęć. Wgrany plik może zostać następnie wykonany po stronie serwera, prowadząc do pełnego Remote Code Execution.

Pokaż oryginał (EN)

Due to client-controlled permission check parameter, PAD CMS's upload photo functionality allows an unauthenticated remote attacker to upload files of any type and extension without restriction, which can then be executed leading to Remote Code Execution.This issue affects all 3 templates: www, bip and ww+bip. This product is End-Of-Life and producent will not publish patches for this vulnerability.

🤖 Analiza AI
Jak działa

Mechanizm weryfikacji uprawnień w funkcji uploadu zdjęć oparty jest na parametrze kontrolowanym po stronie klienta (client-controlled permission check parameter), co pozwala na jego dowolną modyfikację. Atakujący bez żadnego uwierzytelnienia może wysłać spreparowane żądanie z plikiem wykonalnym (np. webshell) i ominąć wszelkie ograniczenia dotyczące dozwolonych typów oraz rozszerzeń plików. Po wgraniu złośliwy plik może zostać wywołany przez atakującego, co skutkuje wykonaniem kodu na serwerze. Problem dotyczy wszystkich trzech szablonów systemu: www, bip oraz ww+bip.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze (RCE) bez konieczności posiadania jakichkolwiek uprawnień, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych oraz dalszego lateral movement w infrastrukturze.

Mitygacja

Producent nie opublikuje poprawek do tej podatności — produkt osiągnął status End-Of-Life. Należy natychmiast wycofać system PAD CMS z użycia lub odizolować go od sieci publicznej (np. wyłączyć dostęp zewnętrzny, zastosować reguły firewall blokujące dostęp do funkcji uploadu). Zaleca się migrację do aktywnie wspieranego rozwiązania CMS. Dodatkowe referencje: https://cert.pl/posts/2025/09/CVE-2025-7063

Kogo dotyczy

Wszystkie wersje Widzialni PAD CMS we wszystkich trzech szablonach: www, bip oraz ww+bip. Produkt jest oznaczony jako End-Of-Life.

Uwagi

Produkt Widzialni PAD CMS jest oznaczony jako End-Of-Life — producent nie wyda łatki bezpieczeństwa. Podatność dotyczy wszystkich wdrożeń systemu niezależnie od szablonu. Organizacje korzystające z PAD CMS powinny traktować ten system jako skompromitowany do czasu jego wycofania lub pełnej izolacji sieciowej.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Widzialni Pad Cms

    APP
    Widzialni
    ≤ 1.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-7063CRITICAL10.0PL ✓ten sam produkt

Unrestricted File Upload w PAD CMS umożliwiający RCE

CVE-2025-7065CRITICAL10.0PL ✓ten sam produkt

PAD CMS – nieograniczony upload plików prowadzący do RCE

CVE-2025-8122HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...

CVE-2025-8117HIGH8.7ten sam produkt

PAD CMS improperly initializes parameter used for password recovery, which allows to change password for any u...

CVE-2025-8121HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...