Katalog CVE

CVE-2025-25784

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.84%

Percentyl 53 - wyżej niż 53% wszystkich znanych CVE

Streszczenie

W Jizhicms v2.5.4 w komponencie TemplateController.php wykryto podatność na dowolne przesyłanie plików. Atakujący może przesłać spreparowany plik ZIP, co umożliwia zdalne wykonanie kodu na serwerze.

Ocena ryzyka

Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem, kradzież danych oraz dalsze ataki na infrastrukturę wewnętrzną.

Rekomendacja

Należy natychmiast zaktualizować Jizhicms do najnowszej wersji oraz wdrożyć walidację typów plików i ograniczenia przesyłania archiwów ZIP.

Oryginalny opis (angielski, źródło NVD)

An arbitrary file upload vulnerability in the component \c\TemplateController.php of Jizhicms v2.5.4 allows attackers to execute arbitrary code via uploading a crafted Zip file.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS