CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69981

Critical
Published: Translated: NVD NIST

Summary

FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.

Risk Assessment

Możliwość przesyłania złośliwych plików może prowadzić do nadpisania krytycznych plików systemowych, co umożliwia uzyskanie dostępu administracyjnego lub wykonanie dowolnego kodu.

Recommendation

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/upload` oraz ograniczenie typów przesyłanych plików, aby zminimalizować ryzyko.

Original NVD description (English source)

FUXA v1.2.7 contains an Unrestricted File Upload vulnerability in the `/api/upload` API endpoint. The endpoint lacks authentication mechanisms, allowing unauthenticated remote attackers to upload arbitrary files. This can be exploited to overwrite critical system files (such as the SQLite user database) to gain administrative access, or to upload malicious scripts to execute arbitrary code.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS