Podatność w module 'melis-cms-slider' platformy Melis Technology pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu na serwerze (RCE) poprzez przesłanie złośliwego pliku. Ze względu na brak wymaganych uprawnień i możliwość pełnego przejęcia systemu, podatność jest oceniana jako krytyczna (CVSS 9.3).
▸ Pokaż oryginał (EN)
File upload leading to remote code execution (RCE) in the “melis-cms-slider” module of Melis Technology's Melis Platform. This vulnerability allows an attacker to upload a malicious file via a POST request to '/melis/MelisCmsSlider/MelisCmsSliderDetails/saveDetailsForm' using the 'mcsdetail_img' parameter.
Atakujący wysyła żądanie HTTP POST na endpoint '/melis/MelisCmsSlider/MelisCmsSliderDetails/saveDetailsForm', przekazując złośliwy plik za pomocą parametru 'mcsdetail_img'. Aplikacja nie weryfikuje w sposób wystarczający typu ani zawartości przesyłanego pliku (CWE-43), co umożliwia wgranie pliku wykonywalnego. Po przesłaniu pliku atakujący może doprowadzić do wykonania zawartego w nim złośliwego kodu po stronie serwera.
Atakujący może uzyskać pełną kontrolę nad serwerem aplikacji — wykonać dowolny kod, wykraść dane, zainstalować backdoor lub naruszyć integralność i dostępność systemu. Atak nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (ogłoszenie INCIBE: https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-melis-platform). Do czasu wdrożenia poprawki zaleca się zablokowanie dostępu do podatnego endpointu '/melis/MelisCmsSlider/MelisCmsSliderDetails/saveDetailsForm' na poziomie firewall lub reverse proxy oraz ograniczenie możliwości wykonywania plików w katalogach przeznaczonych na upload.
Moduł 'melis-cms-slider' platformy Melis Platform firmy Melis Technology; konkretne wersje wskazane w referencjach producenta (INCIBE).
Dla podatności opublikowano publicznie dostępny proof-of-concept (PoC) na platformie GitHub: https://github.com/ivansmc00/CVE-2025-10353-POC. Podatność jest jedną z wielu zgłoszonych w ramach tej samej notyfikacji INCIBE dotyczącej Melis Platform.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X