CVE-2025-29930

Nome do Software Vulnerável e Versões Afetadas Versões do imFAQ anteriores à 1.0.1

Descrição A vulnerabilidade permite que um atacante leia arquivos sensíveis no servidor através de Inclusão Local de Arquivos (LFI) ao manipular o parâmetro seoOp na requisição $ GET. Os parâmetros seoOp e seoArg são utilizados diretamente sem sanitização ou validação. No entanto, o risco é parcialmente mitigado, pois o ImpressCMS armazena arquivos sensíveis fora da raiz web em uma pasta com um nome aleatório.

Recomendações Para versões anteriores à 1.0.1, atualize para a versão 1.0.1 para resolver o problema. Como medida paliativa temporária, considere restringir o acesso aos parâmetros seoOp e seoArg para minimizar o risco de exploração.