Katalog CVE

CVE-2026-13547

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność polegającą na nieograniczonym przesyłaniu plików. Problem występuje w pliku /manage/resourceUpload/upload.do, gdzie manipulacja argumentem File pozwala na zdalne wgranie dowolnego pliku. Exploit został publicznie ujawniony i może być wykorzystany.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wgrania złośliwego pliku (np. webshella) przez atakującego, co może prowadzić do przejęcia kontroli nad serwerem i naruszenia poufności danych.

Rekomendacja

Należy natychmiast zaktualizować platformę do najnowszej wersji lub zastosować dostępną łatkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /manage/resourceUpload/upload.do oraz wdrożenie walidacji typów plików po stronie serwera.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was determined in Hanwang e-Face General Management Platform 6.3.5.4. This issue affects some unknown processing of the file /manage/resourceUpload/upload.do. Executing a manipulation of the argument File can lead to unrestricted upload. The attack may be launched remotely. The exploit has been publicly disclosed and may be utilized.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS