CVE-2019-25760
ŚrednieCVSS 6.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Komponent Joomla! Easy Shop w wersji 1.2.3 zawiera podatność na lokalne włączenie pliku, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez podanie ścieżek plików zakodowanych w base64. Atakujący mogą wysyłać żądania GET do index.php z odpowiednimi parametrami, aby uzyskać dostęp do wrażliwych plików.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak pliki konfiguracyjne i systemowe, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się aktualizację komponentu Easy Shop do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby zminimalizować ryzyko lokalnego włączenia pliku.
Oryginalny opis (angielski, źródło NVD)
Joomla! Component Easy Shop 1.2.3 contains a local file inclusion vulnerability that allows unauthenticated attackers to read arbitrary files by supplying base64-encoded file paths. Attackers can send GET requests to index.php with the option parameter set to com_easyshop, task set to ajax.loadImage, and a base64-encoded file path in the file parameter to retrieve sensitive files like configuration.php and system files.

