CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-66631

Critical
Published: Translated: NVD NIST

Summary

CSLA .NET to framework przeznaczony do tworzenia wielokrotnego użytku obiektowych warstw biznesowych dla aplikacji. Wersje 5.5.4 i niższe umożliwiają użycie WcfProxy, które jest podatne na zdalne wykonanie kodu podczas deserializacji z powodu użycia przestarzałego NetDataContractSerializer (NDCS).

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Recommendation

Zaleca się aktualizację do wersji 6.0.0 lub usunięcie WcfProxy w konfiguracjach portalu danych jako obejście tego problemu.

Original NVD description (English source)

CSLA .NET is a framework designed for the development of reusable, object-oriented business layers for applications. Versions 5.5.4 and below allow the use of WcfProxy. WcfProxy uses the now-obsolete NetDataContractSerializer (NDCS) and is vulnerable to remote code execution during deserialization. This vulnerability is fixed in version 6.0.0. To workaround this issue, remove the WcfProxy in data portal configurations.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS