CVE-2025-1782
KrytyczneStreszczenie
W interfejsie webowym HylaFAX Enterprise oraz AvantFAX element formularza języka nie jest odpowiednio oczyszczany przed użyciem, co może być wykorzystane do włączenia dowolnego pliku w kodzie PHP.
Ocena ryzyka
Ta podatność pozwala atakującemu, który jest uwierzytelniony jako ważny użytkownik, na wykonanie dowolnych działań jako użytkownik serwera webowego, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów sanitizacji danych wejściowych oraz przegląd i aktualizację systemu w celu usunięcia tej podatności.
Oryginalny opis (angielski, źródło NVD)
In HylaFAX Enterprise Web Interface and AvantFAX, the language form element is not properly sanitized before being used and can be misused to include an arbitrary file in the PHP code allowing an attacker to do anything as the web server user. This flaw requires the attacker to be authenticated with a valid user account.

