CVE-2025-34163
KrytyczneStreszczenie
Oprogramowanie Dongsheng Logistics wystawia nieautoryzowany punkt końcowy pod adresem /CommMng/Print/UploadMailFile, który nie wprowadza odpowiedniej walidacji typu pliku ani kontroli dostępu. Atakujący może przesyłać dowolne pliki, w tym skrypty wykonywalne, co umożliwia zdalne wykonanie kodu na serwerze.
Ocena ryzyka
Podatność ta może prowadzić do pełnego kompromitowania systemu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów zabezpieczających, takich jak walidacja typu pliku i kontrola dostępu.
Oryginalny opis (angielski, źródło NVD)
Dongsheng Logistics Software exposes an unauthenticated endpoint at /CommMng/Print/UploadMailFile that fails to enforce proper file type validation and access control. An attacker can upload arbitrary files, including executable scripts such as .ashx, via a crafted multipart/form-data POST request. This allows remote code execution on the server, potentially leading to full system compromise. The vulnerability is presumed to affect builds released prior to July 2025 and is remediated in newer versions of the product, though the exact affected range remains undefined. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-07-23 UTC.

