Podatność w systemie PAD CMS firmy Widzialni umożliwia nieuwierzytelnionemu atakującemu wgranie pliku dowolnego typu i rozszerzenia przez funkcję uploadu zdjęć. Wgrany plik może zostać następnie wykonany po stronie serwera, prowadząc do pełnego Remote Code Execution.
▸ Pokaż oryginał (EN)
Due to client-controlled permission check parameter, PAD CMS's upload photo functionality allows an unauthenticated remote attacker to upload files of any type and extension without restriction, which can then be executed leading to Remote Code Execution.This issue affects all 3 templates: www, bip and ww+bip. This product is End-Of-Life and producent will not publish patches for this vulnerability.
Mechanizm weryfikacji uprawnień w funkcji uploadu zdjęć oparty jest na parametrze kontrolowanym po stronie klienta (client-controlled permission check parameter), co pozwala na jego dowolną modyfikację. Atakujący bez żadnego uwierzytelnienia może wysłać spreparowane żądanie z plikiem wykonalnym (np. webshell) i ominąć wszelkie ograniczenia dotyczące dozwolonych typów oraz rozszerzeń plików. Po wgraniu złośliwy plik może zostać wywołany przez atakującego, co skutkuje wykonaniem kodu na serwerze. Problem dotyczy wszystkich trzech szablonów systemu: www, bip oraz ww+bip.
Atakujący uzyskuje możliwość wykonania dowolnego kodu na serwerze (RCE) bez konieczności posiadania jakichkolwiek uprawnień, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych oraz dalszego lateral movement w infrastrukturze.
Producent nie opublikuje poprawek do tej podatności — produkt osiągnął status End-Of-Life. Należy natychmiast wycofać system PAD CMS z użycia lub odizolować go od sieci publicznej (np. wyłączyć dostęp zewnętrzny, zastosować reguły firewall blokujące dostęp do funkcji uploadu). Zaleca się migrację do aktywnie wspieranego rozwiązania CMS. Dodatkowe referencje: https://cert.pl/posts/2025/09/CVE-2025-7063
Wszystkie wersje Widzialni PAD CMS we wszystkich trzech szablonach: www, bip oraz ww+bip. Produkt jest oznaczony jako End-Of-Life.
Produkt Widzialni PAD CMS jest oznaczony jako End-Of-Life — producent nie wyda łatki bezpieczeństwa. Podatność dotyczy wszystkich wdrożeń systemu niezależnie od szablonu. Organizacje korzystające z PAD CMS powinny traktować ten system jako skompromitowany do czasu jego wycofania lub pełnej izolacji sieciowej.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWidzialni Pad Cms
APPWidzialni≤ 1.2.1
Powiązane podatności
Unrestricted File Upload w PAD CMS umożliwiający RCE
PAD CMS – nieograniczony upload plików prowadzący do RCE
Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...
PAD CMS improperly initializes parameter used for password recovery, which allows to change password for any u...
Improper neutralization of input provided by an authorized user in article positioning functionality allows fo...