CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-28916

Critical
Published: Translated: NVD NIST

Summary

W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.

Risk Assessment

Zagrożenie to może umożliwić atakującym dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do plików.

Recommendation

Zaleca się aktualizację do najnowszej wersji Rashid Docpro, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy zabezpieczeń, aby ograniczyć możliwość włączenia nieautoryzowanych plików.

Original NVD description (English source)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Rashid Docpro docpro allows PHP Local File Inclusion.This issue affects Docpro: from n/a through <= 2.0.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS