Katalog CVE

CVE-2025-52023

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Podatność w backendzie PHP systemu gemscms.aptsys.com.sg (do 28 maja 2025) umożliwia nieuwierzytelnionym atakującym zdalne wywołanie szczegółowych komunikatów błędów, które ujawniają wewnętrzne ścieżki plików, fragmenty kodu źródłowego oraz ślady stosu wywołań. Wystarczy wysłać specjalnie spreparowane żądania HTTP GET/POST do publicznych punktów końcowych API.

Ocena ryzyka

Ujawnienie wewnętrznych ścieżek plików i fragmentów kodu może ułatwić atakującemu dalszą eksploatację systemu, w tym identyfikację podatnych komponentów lub przygotowanie ukierunkowanego ataku.

Rekomendacja

Należy niezwłocznie zaktualizować system gemscms do najnowszej wersji oraz skonfigurować środowisko produkcyjne tak, aby nie wyświetlało szczegółowych komunikatów błędów (np. wyłączenie trybu debugowania w PHP).

Oryginalny opis (angielski, źródło NVD)

A vulnerability in the PHP backend of gemscms.aptsys.com.sg thru 2025-05-28 allows unauthenticated remote attackers to trigger detailed error messages that disclose internal file paths, code snippets, and stack traces. This occurs when specially crafted HTTP GET/POST requests are sent to public API endpoints, exposing potentially sensitive information useful for further exploitation. This issue is classified under CWE-209: Information Exposure Through an Error Message.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS