CVE-2025-25790
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 - wyżej niż 53% wszystkich znanych CVE
Streszczenie
W systemie FoxCMS w wersji 1.2.5 wykryto podatność polegającą na dowolnym przesyłaniu plików w komponencie LocalTemplate.php. Atakujący może przesłać spreparowany plik ZIP, co umożliwia wykonanie dowolnego kodu na serwerze.
Ocena ryzyka
Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem WWW, kradzież danych, modyfikację treści oraz wykorzystanie serwera do dalszych ataków.
Rekomendacja
Należy natychmiast zaktualizować FoxCMS do najnowszej dostępnej wersji oraz wdrożyć walidację typów plików i ograniczenia dotyczące przesyłania archiwów ZIP.
Oryginalny opis (angielski, źródło NVD)
An arbitrary file upload vulnerability in the component \controller\LocalTemplate.php of FoxCMS v1.2.5 allows attackers to execute arbitrary code via uploading a crafted Zip file.

