CVE-2025-34336
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 - wyżej niż 40% wszystkich znanych CVE
Streszczenie
eGovFrame Common Components w wersjach do 4.3.1 zawiera nieuwierzytelnioną podatność na przesyłanie plików przez endpointy /utl/wed/insertImage.do i /utl/wed/insertImageCk.do. Atakujący może przesłać dowolną treść, a serwer przechowuje plik i zwraca URL do pobrania, co pozwala na wykorzystanie aplikacji jako hostingu plików.
Ocena ryzyka
Ryzyko polega na możliwości hostowania złośliwych treści (np. skryptów, malware) pod domeną aplikacji, co może prowadzić do ataków phishingowych, dystrybucji złośliwego oprogramowania lub naruszenia reputacji organizacji.
Rekomendacja
Należy natychmiast zaktualizować eGovFrame Common Components do wersji 4.3.2 lub nowszej, jeśli dostępna, lub zastosować tymczasowe zabezpieczenia, takie jak wymuszenie uwierzytelniania na endpointach przesyłania obrazów.
Oryginalny opis (angielski, źródło NVD)
eGovFramework/egovframe-common-components versions up to and including 4.3.1 contain an unauthenticated file upload vulnerability via the /utl/wed/insertImage.do and /utl/wed/insertImageCk.do image upload endpoints. These controllers accept multipart requests without authentication, pass the uploaded content to a shared upload helper, and store the file on the server under a framework-controlled path. The framework then returns a download URL that can be used to retrieve the uploaded content, including an attacker-controlled Content-Type within the limits of the image upload functionality. While a filename extension whitelist is enforced, the attacker fully controls the file contents. The response MIME type used is also attacker-controlled when the file is served up to version < 4.1.2. Since version 4.1.2, it is possible to download any image uploaded with any whitelisted content type. But any file uploaded other than an image will be served with the `application/octet-stream` content type (the content type is no longer controlled by the attacker since version 4.1.2). This enables an unauthenticated attacker to use any affected application as a persistent file hosting service for arbitrary content under the application's origin. KISA/KrCERT has identified this unpatched vulnerability as "KVE-2023-5280."

