CVE-2025-66945
CriticalSummary
W Zdir Pro 4.x występuje podatność na traversję ścieżki w API ekstrakcji ZIP. Przetwarzając spreparowany archiwum ZIP w backendzie pod adresem /api/extract, pliki mogą być zapisywane poza zamierzonym katalogiem, co prowadzi do nadpisania dowolnych plików i potencjalnego zdalnego wykonania kodu.
Risk Assessment
Organizacja może być narażona na poważne zagrożenia, w tym nadpisanie krytycznych plików oraz możliwość zdalnego wykonania złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się natychmiastowe zaktualizowanie Zdir Pro do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć dostęp do API ekstrakcji ZIP.
Original NVD description (English source)
A path traversal vulnerability exists in the ZIP extraction API of Zdir Pro 4.x. When a crafted ZIP archive is processed by the backend at /api/extract, files may be written outside the intended directory, leading to arbitrary file overwrite and potentially remote code execution

