CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-59793

Critical
Published: Translated: NVD NIST

Summary

Rocket TRUfusion Enterprise w wersjach do 7.10.5 udostępnia punkt końcowy /axis2/services/WsPortalV6UpDwAxis2Impl dla uwierzytelnionych użytkowników, co umożliwia przesyłanie plików. Aplikacja nieprawidłowo sanitizuje parametr jobDirectory, co pozwala na wprowadzenie sekwencji przejścia ścieżki.

Risk Assessment

To może prowadzić do zapisywania plików w dowolnych lokalizacjach systemu plików, co stwarza ryzyko zdalnego wykonania kodu i potencjalnego przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację aplikacji do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów sanitizacji danych wejściowych, aby zapobiec atakom typu path traversal.

Original NVD description (English source)

Rocket TRUfusion Enterprise through 7.10.5 exposes the endpoint at /axis2/services/WsPortalV6UpDwAxis2Impl to authenticated users to be able to upload files. However, the application doesn't properly sanitize the jobDirectory parameter, which allows path traversal sequences to be included. This allows writing files to arbitrary local filesystem locations and may subsequently lead to remote code execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS