Katalog CVE

CVE-2025-28916

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności CVE-2025-28916 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w aplikacji Rashid Docpro. Problem dotyczy wersji Docpro od n/a do 2.0.1 włącznie.

Ocena ryzyka

Zagrożenie to może umożliwić atakującym dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do plików.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji Rashid Docpro, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy zabezpieczeń, aby ograniczyć możliwość włączenia nieautoryzowanych plików.

Oryginalny opis (angielski, źródło NVD)

Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Rashid Docpro docpro allows PHP Local File Inclusion.This issue affects Docpro: from n/a through <= 2.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS