CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-24891

Critical
Published: Translated: NVD NIST

Summary

Dumb Drop to aplikacja do przesyłania plików, która zawiera podatność na traversję ścieżki. Użytkownicy z uprawnieniami do przesyłania plików mogą nadpisywać dowolne pliki systemowe, co może prowadzić do wstrzykiwania złośliwych ładunków do plików uruchamianych na harmonogramie lub w wyniku działań serwisu.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia nieautoryzowanym użytkownikom uzyskanie dostępu do systemu z uprawnieniami roota. Może to prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Recommendation

Zaleca się ograniczenie uprawnień do przesyłania plików tylko do zaufanych użytkowników oraz włączenie uwierzytelniania w serwisie. Należy również monitorować i zabezpieczać system przed potencjalnymi atakami wykorzystującymi tę podatność.

Original NVD description (English source)

Dumb Drop is a file upload application. Users with permission to upload to the service are able to exploit a path traversal vulnerability to overwrite arbitrary system files. As the container runs as root by default, there is no limit to what can be overwritten. With this, it's possible to inject malicious payloads into files ran on schedule or upon certain service actions. As the service is not required to run with authentication enabled, this may permit wholly unprivileged users root access. Otherwise, anybody with a PIN.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS