CVE-2025-28916
CriticalSummary
W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.
Risk Assessment
Zagrożenie to może umożliwić atakującym dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do plików.
Recommendation
Zaleca się aktualizację do najnowszej wersji Rashid Docpro, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy zabezpieczeń, aby ograniczyć możliwość włączenia nieautoryzowanych plików.
Original NVD description (English source)
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Rashid Docpro docpro allows PHP Local File Inclusion.This issue affects Docpro: from n/a through <= 2.0.1.

