Katalog CVE

CVE-2025-57567

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.83%

Percentyl 53 - wyżej niż 53% wszystkich znanych CVE

Streszczenie

W systemie PluXml CMS w edytorze motywów wykryto podatność umożliwiającą zdalne wykonanie kodu (RCE). Problem dotyczy pliku minify.php w domyślnym katalogu motywu, który może zostać nadpisany przez uwierzytelnionego administratora dowolnym kodem PHP.

Ocena ryzyka

Atakujący z uprawnieniami administratora może przejąć kontrolę nad serwerem, wykonując dowolne polecenia systemowe, co prowadzi do pełnej kompromitacji systemu i danych.

Rekomendacja

Należy natychmiast zaktualizować system PluXml CMS do najnowszej wersji oraz ograniczyć uprawnienia administratora tylko do zaufanych użytkowników. Dodatkowo warto zabezpieczyć plik minify.php przed zapisem.

Oryginalny opis (angielski, źródło NVD)

A remote code execution (RCE) vulnerability exists in the PluXml CMS theme editor, specifically in the minify.php file located under the default theme directory (/themes/defaut/css/minify.php). An authenticated administrator user can overwrite this file with arbitrary PHP code via the admin panel, enabling execution of system commands.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS