CVE-2025-57567
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 - wyżej niż 53% wszystkich znanych CVE
Streszczenie
W systemie PluXml CMS w edytorze motywów wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE). Problem dotyczy pliku minify.php w domyślnym katalogu motywu, który może zostać nadpisany przez uwierzytelnionego administratora dowolnym kodem PHP.
Ocena ryzyka
Atakujący z uprawnieniami administratora może przejąć kontrolę nad serwerem, wykonując dowolne polecenia systemowe, co prowadzi do pełnej kompromitacji systemu i danych.
Rekomendacja
Należy natychmiast zaktualizować system PluXml CMS do najnowszej wersji oraz ograniczyć uprawnienia administratora tylko do zaufanych użytkowników. Dodatkowo warto zabezpieczyć plik minify.php przed zapisem.
Oryginalny opis (angielski, źródło NVD)
A remote code execution (RCE) vulnerability exists in the PluXml CMS theme editor, specifically in the minify.php file located under the default theme directory (/themes/defaut/css/minify.php). An authenticated administrator user can overwrite this file with arbitrary PHP code via the admin panel, enabling execution of system commands.

