Katalog CVE

CVE-2025-34163

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Oprogramowanie Dongsheng Logistics wystawia nieautoryzowany punkt końcowy pod adresem /CommMng/Print/UploadMailFile, który nie wprowadza odpowiedniej walidacji typu pliku ani kontroli dostępu. Atakujący może przesyłać dowolne pliki, w tym skrypty wykonywalne, co umożliwia zdalne wykonanie kodu na serwerze.

Ocena ryzyka

Podatność ta może prowadzić do pełnego kompromitowania systemu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację oprogramowania do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja typu pliku i kontrola dostępu.

Oryginalny opis (angielski, źródło NVD)

Dongsheng Logistics Software exposes an unauthenticated endpoint at /CommMng/Print/UploadMailFile that fails to enforce proper file type validation and access control. An attacker can upload arbitrary files, including executable scripts such as .ashx, via a crafted multipart/form-data POST request. This allows remote code execution on the server, potentially leading to full system compromise. The vulnerability is presumed to affect builds released prior to July 2025 and is remediated in newer versions of the product, though the exact affected range remains undefined. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-07-23 UTC.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS