CVE-2026-13547
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność polegającą na nieograniczonym przesyłaniu plików. Problem występuje w pliku /manage/resourceUpload/upload.do, gdzie manipulacja argumentem File pozwala na zdalne wgranie dowolnego pliku. Exploit został publicznie ujawniony i może być wykorzystany.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wgrania złośliwego pliku (np. webshella) przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem i naruszenia poufności danych.
Rekomendacja
Należy natychmiast zaktualizować platformę do najnowszej wersji lub zastosować dostępną łatkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /manage/resourceUpload/upload.do oraz wdrożenie walidacji typów plików po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in Hanwang e-Face General Management Platform 6.3.5.4. This issue affects some unknown processing of the file /manage/resourceUpload/upload.do. Executing a manipulation of the argument File can lead to unrestricted upload. The attack may be launched remotely. The exploit has been publicly disclosed and may be utilized.

