CVE-2025-25785
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
W JizhiCMS v2.5.4 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie \c\PluginsController.php. Umożliwia ona atakującemu skanowanie sieci wewnętrznej poprzez spreparowane żądanie.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do mapowania wewnętrznej infrastruktury sieciowej, co może prowadzić do dalszych ataków na systemy wewnętrzne.
Rekomendacja
Należy zaktualizować JizhiCMS do najnowszej wersji oraz zastosować mechanizmy walidacji i filtrowania żądań wychodzących, aby zapobiec nieautoryzowanym połączeniom.
Oryginalny opis (angielski, źródło NVD)
JizhiCMS v2.5.4 was discovered to contain a Server-Side Request Forgery (SSRF) via the component \c\PluginsController.php. This vulnerability allows attackers to perform an intranet scan via a crafted request.

