CRITICAL🇬🇧 English

CVE-2025-7065

PAD CMS – nieograniczony upload plików prowadzący do RCE

CVSS 10.0v4.0pub. 2025-09-30upd. 2025-11-26

Podatność w systemie PAD CMS firmy Widzialni umożliwia nieuwierzytelnionemu atakującemu przesłanie pliku dowolnego typu i rozszerzenia poprzez funkcję uploadu zdjęć, a następnie jego wykonanie na serwerze. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest szczególnie groźna ze względu na brak możliwości uzyskania patcha – produkt osiągnął status End-Of-Life.

Pokaż oryginał (EN)

Due to client-controlled permission check parameter, PAD CMS's photo upload functionality allows an unauthenticated remote attacker to upload files of any type and extension without restriction, which can then be executed leading to Remote Code Execution. This issue affects all 3 templates: www, bip and ww+bip. This product is End-Of-Life and producent will not publish patches for this vulnerability.

🤖 Analiza AI
Jak działa

Funkcja uploadu zdjęć w PAD CMS opiera się na parametrze kontrolowanym po stronie klienta, który odpowiada za weryfikację uprawnień do przesyłania plików. Atakujący może zmodyfikować ten parametr, całkowicie omijając mechanizm sprawdzania uprawnień. W efekcie możliwe jest przesłanie pliku dowolnego typu i rozszerzenia (np. skryptu webshell) bez żadnych ograniczeń ani konieczności uwierzytelnienia. Przesłany plik może następnie zostać wykonany na serwerze, co prowadzi do Remote Code Execution.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu na serwerze (RCE), co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych, instalacji backdoorów lub dalszego lateral movement w sieci organizacji.

Mitygacja

Producent nie wyda poprawki – produkt jest w statusie End-Of-Life. Zaleca się natychmiastowe wyłączenie lub odizolowanie instancji PAD CMS od sieci publicznej, migrację do alternatywnego, wspieranego rozwiązania oraz zastosowanie mechanizmów kontroli dostępu na poziomie infrastruktury (np. firewall, WAF). Szczegóły dostępne w referencjach: https://cert.pl/posts/2025/09/CVE-2025-7063

Kogo dotyczy

Wszystkie wersje PAD CMS firmy Widzialni we wszystkich trzech szablonach: www, bip oraz ww+bip.

Uwagi

Produkt jest End-Of-Life – producent oficjalnie potwierdził, że nie zostanie wydany żaden patch. Podatność dotyczy wszystkich trzech szablonów systemu: www, bip i ww+bip. Informacja o podatności pochodzi z CERT Polska.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Widzialni Pad Cms

    APP
    Widzialni
    ≤ 1.2.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-7063CRITICAL10.0PL ✓ten sam produkt

Unrestricted File Upload w PAD CMS umożliwiający RCE

CVE-2025-8120CRITICAL10.0PL ✓ten sam produkt

Unrestricted File Upload z RCE w Widzialni PAD CMS (brak uwierzytelnienia)

CVE-2025-8122HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...

CVE-2025-8117HIGH8.7ten sam produkt

PAD CMS improperly initializes parameter used for password recovery, which allows to change password for any u...

CVE-2025-8121HIGH8.7ten sam produkt

Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...