CVE-2025-67288
KrytyczneCVSS 10.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
Podatność w Umbraco CMS v16.3.3 umożliwia atakującemu przesłanie spreparowanego pliku PDF, co może prowadzić do wykonania dowolnego kodu. Producent kwestionuje to, wskazując, że walidacja plików leży po stronie administratora systemu, a kod JavaScript w PDF działa w izolowanym sandboxie.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem CMS i naruszenia poufności danych. Jednakże producent podważa realność zagrożenia, przenosząc odpowiedzialność na administratora.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej wersji Umbraco CMS oraz wdrożenie ścisłej walidacji przesyłanych plików po stronie serwera, zgodnie z dokumentacją producenta.
Oryginalny opis (angielski, źródło NVD)
An arbitrary file upload vulnerability in Umbraco CMS v16.3.3 allows attackers to execute arbitrary code by uploading a crafted PDF file. NOTE: this is disputed by the Supplier because the responsibility for file validation (as shown in the documentation) belongs to the system administrator who is implementing Umbraco CMS in their environment, not to Umbraco CMS itself. The Supplier also states that PDF JavaScript runs in a completely isolated sandbox, not the browser's DOM context, which means that privilege boundaries would not be crossed, a related issue to CVE-2023-49279.

