Katalog CVE

CVE-2025-67288

KrytyczneCVSS 10.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 - wyżej niż 39% wszystkich znanych CVE

Streszczenie

Podatność w Umbraco CMS v16.3.3 umożliwia atakującemu przesłanie spreparowanego pliku PDF, co może prowadzić do wykonania dowolnego kodu. Producent kwestionuje to, wskazując, że walidacja plików leży po stronie administratora systemu, a kod JavaScript w PDF działa w izolowanym sandboxie.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem CMS i naruszenia poufności danych. Jednakże producent podważa realność zagrożenia, przenosząc odpowiedzialność na administratora.

Rekomendacja

Zaleca się natychmiastową aktualizację do najnowszej wersji Umbraco CMS oraz wdrożenie ścisłej walidacji przesyłanych plików po stronie serwera, zgodnie z dokumentacją producenta.

Oryginalny opis (angielski, źródło NVD)

An arbitrary file upload vulnerability in Umbraco CMS v16.3.3 allows attackers to execute arbitrary code by uploading a crafted PDF file. NOTE: this is disputed by the Supplier because the responsibility for file validation (as shown in the documentation) belongs to the system administrator who is implementing Umbraco CMS in their environment, not to Umbraco CMS itself. The Supplier also states that PDF JavaScript runs in a completely isolated sandbox, not the browser's DOM context, which means that privilege boundaries would not be crossed, a related issue to CVE-2023-49279.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS