CVE-2025-69981
KrytyczneStreszczenie
FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.
Ocena ryzyka
Możliwość przesyłania złośliwych plików może prowadzić do nadpisania krytycznych plików systemowych, co umożliwia uzyskanie dostępu administracyjnego lub wykonanie dowolnego kodu.
Rekomendacja
Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/upload` oraz ograniczenie typów przesyłanych plików, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
FUXA v1.2.7 contains an Unrestricted File Upload vulnerability in the `/api/upload` API endpoint. The endpoint lacks authentication mechanisms, allowing unauthenticated remote attackers to upload arbitrary files. This can be exploited to overwrite critical system files (such as the SQLite user database) to gain administrative access, or to upload malicious scripts to execute arbitrary code.

