CVE-2025-69981
CriticalSummary
FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.
Risk Assessment
Możliwość przesyłania złośliwych plików może prowadzić do nadpisania krytycznych plików systemowych, co umożliwia uzyskanie dostępu administracyjnego lub wykonanie dowolnego kodu.
Recommendation
Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/upload` oraz ograniczenie typów przesyłanych plików, aby zminimalizować ryzyko.
Original NVD description (English source)
FUXA v1.2.7 contains an Unrestricted File Upload vulnerability in the `/api/upload` API endpoint. The endpoint lacks authentication mechanisms, allowing unauthenticated remote attackers to upload arbitrary files. This can be exploited to overwrite critical system files (such as the SQLite user database) to gain administrative access, or to upload malicious scripts to execute arbitrary code.

