CRITICAL🇬🇧 English

CVE-2025-69990

Arbitrary File Deletion w Phpgurukul News Portal V4.1 (remove_file.php)

CVSS 9.1v3.1pub. 2026-01-13upd. 2026-01-16

Phpgurukul News Portal Project V4.1 zawiera podatność umożliwiającą usunięcie dowolnego pliku na serwerze poprzez manipulację parametrem w pliku remove_file.php. Jest to krytyczna luka, ponieważ nieuwierzytelniony atakujący może trwale usuwać pliki systemowe lub aplikacyjne.

Pokaż oryginał (EN)

phpgurukul News Portal Project V4.1 has an Arbitrary File Deletion Vulnerability in remove_file.php. The parameter file can cause any file to be deleted.

🤖 Analiza AI
Jak działa

Podatność (CWE-552) polega na braku odpowiedniej walidacji i kontroli dostępu do parametru 'file' w skrypcie remove_file.php. Atakujący może przekazać w tym parametrze dowolną ścieżkę do pliku na serwerze, co skutkuje jego usunięciem bez weryfikacji uprawnień. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni exploitation trywialnym.

Skutki

Atakujący może trwale usunąć dowolne pliki dostępne dla procesu serwera WWW, w tym pliki konfiguracyjne, dane aplikacji, pliki systemowe lub całą zawartość aplikacji, prowadząc do utraty danych i niedostępności serwisu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się usunięcie lub zabezpieczenie dostępu do pliku remove_file.php (np. poprzez restrykcje na poziomie serwera WWW) oraz wdrożenie kontroli dostępu i walidacji ścieżek plików po stronie serwera.

Kogo dotyczy

Phpgurukul News Portal Project V4.1

Uwagi

Szczegółowy opis techniczny podatności wraz z dowodem słuszności (proof of concept) dostępny jest w referencji na GitHub pod adresem wskazanym w opisie CVE.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Phpgurukul News Portal

    APP
    Phpgurukul
    4.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-69992CRITICAL9.8PL ✓ten sam produkt

Nieautoryzowany upload pliku dowolnego formatu w Phpgurukul News Portal

CVE-2025-69991CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Phpgurukul News Portal V4.1 (check_availablity.php)

CVE-2025-4874MEDIUM6.9ten sam produkt

A vulnerability was found in PHPGurukul News Portal Project 4.1 and classified as critical. Affected by this i...

CVE-2025-4873MEDIUM6.9ten sam produkt

A vulnerability has been found in PHPGurukul News Portal 4.1 and classified as critical. Affected by this vuln...

CVE-2025-4880MEDIUM6.9ten sam produkt

A vulnerability has been found in PHPGurukul News Portal 4.1 and classified as critical. Affected by this vuln...

CVE-2025-69990 — Arbitrary File Deletion w Phpgurukul News Portal V4.1 (remove_file.php) — CRITICAL 9.1 | CVEbaza.pl