CVE-2025-25784
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 - wyżej niż 53% wszystkich znanych CVE
Streszczenie
W Jizhicms v2.5.4 w komponencie TemplateController.php wykryto podatność na dowolne przesyłanie plików. Atakujący może przesłać spreparowany plik ZIP, co umożliwia zdalne wykonanie kodu na serwerze.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem, kradzież danych oraz dalsze ataki na infrastrukturę wewnętrzną.
Rekomendacja
Należy natychmiast zaktualizować Jizhicms do najnowszej wersji oraz wdrożyć walidację typów plików i ograniczenia przesyłania archiwów ZIP.
Oryginalny opis (angielski, źródło NVD)
An arbitrary file upload vulnerability in the component \c\TemplateController.php of Jizhicms v2.5.4 allows attackers to execute arbitrary code via uploading a crafted Zip file.

