CVE-2025-66945
KrytyczneStreszczenie
W Zdir Pro 4.x występuje podatność na traversję ścieżki w API ekstrakcji ZIP. Przetwarzając spreparowany archiwum ZIP w backendzie pod adresem /api/extract, pliki mogą być zapisywane poza zamierzonym katalogiem, co prowadzi do nadpisania dowolnych plików i potencjalnego zdalnego wykonania kodu.
Ocena ryzyka
Organizacja może być narażona na poważne zagrożenia, w tym nadpisanie krytycznych plików oraz możliwość zdalnego wykonania złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie Zdir Pro do najnowszej wersji, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć dostęp do API ekstrakcji ZIP.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability exists in the ZIP extraction API of Zdir Pro 4.x. When a crafted ZIP archive is processed by the backend at /api/extract, files may be written outside the intended directory, leading to arbitrary file overwrite and potentially remote code execution

