CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-69985

Critical
Published: Translated: NVD NIST

Summary

FUXA w wersji 1.2.8 i wcześniejszych zawiera podatność na obejście uwierzytelniania, co prowadzi do zdalnego wykonania kodu (RCE). Problem występuje w middleware server/api/jwt-helper.js, który niewłaściwie ufa nagłówkowi HTTP 'Referer' przy walidacji wewnętrznych żądań.

Risk Assessment

Podatność ta pozwala zdalnemu, nieautoryzowanemu atakującemu na obejście uwierzytelnienia JWT, co może prowadzić do wykonania dowolnego kodu Node.js na serwerze. To stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację FUXA do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy weryfikacji żądań, aby zminimalizować ryzyko związane z fałszowaniem nagłówków.

Original NVD description (English source)

FUXA 1.2.8 and prior contains an Authentication Bypass vulnerability leading to Remote Code Execution (RCE). The vulnerability exists in the server/api/jwt-helper.js middleware, which improperly trusts the HTTP "Referer" header to validate internal requests. A remote unauthenticated attacker can bypass JWT authentication by spoofing the Referer header to match the server's host. Successful exploitation allows the attacker to access the protected /api/runscript endpoint and execute arbitrary Node.js code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS