CVE-2025-32028

Nome do Software Vulnerável e Versões Afetadas: Versões do HAX CMS PHP anteriores a 10.0.3

Descrição: O problema está relacionado à função save() em HAXCMSFile.php, que permite uploads de arquivos sem restrições devido a uma lista de negação não exaustiva. Esta lista bloqueia apenas arquivos com as extensões .php, .sh, .js e .css, causando uma "falha aberta" no sistema em vez de uma "falha fechada". A vulnerabilidade pode ser explorada por um atacante remoto para realizar upload de arquivos com extensões maliciosas e executar código arbitrário.

Recomendações: Para versões anteriores a 10.0.3, atualize para a versão 10.0.3 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso à função save() em HAXCMSFile.php para minimizar o risco de exploração. Além disso, restrinja uploads de arquivos apenas aos tipos necessários para reduzir a superfície de ataque.