CVE-2025-51052
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność typu path traversal w Vedo Suite 2024.17 umożliwia zdalnym, uwierzytelnionym atakującym odczyt dowolnych plików systemowych poprzez wykorzystanie niesprawdzonego wywołania funkcji 'file_get_contents()' w ścieżce '/api_vedo/template'.
Ocena ryzyka
Atakujący może uzyskać dostęp do poufnych danych, takich jak pliki konfiguracyjne, hasła czy dane użytkowników, co prowadzi do naruszenia poufności i potencjalnie dalszej eskalacji ataku.
Rekomendacja
Należy natychmiast zaktualizować Vedo Suite do najnowszej wersji zawierającej poprawkę oraz wdrożyć walidację ścieżek w funkcji 'file_get_contents()'.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability in Vedo Suite 2024.17 allows remote authenticated attackers to read arbitrary filesystem files by exploiting an unsanitized 'file_get_contents()' function call in '/api_vedo/template'.

