Unknown · Badaso Cms · CVE-2025-52353
Nome do Software Vulnerável e Versões Afetadas:
Badaso CMS versão 2.9.11
Descrição:
O Gerenciador de Mídia permite que usuários autenticados façam upload de arquivos contendo código PHP incorporado através do endpoint de upload de arquivos, contornando a validação do tipo de conteúdo. Quando tal arquivo é acessado através de sua URL, o servidor executa o payload em PHP, permitindo que um invasor execute comandos arbitrários do sistema e obtenha o comprometimento total do host subjacente. Isso foi demonstrado incorporando uma backdoor dentro de um PDF e renomeando-o com a extensão .php.
Recomendações:
Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.