PT-2025-22316 · Part-Db · Part-Db
B1D0Ws
·
Publicado
2025-05-20
·
Atualizado
2025-05-21
·
CVE-2025-5007
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do Part-DB até a 1.17.0
Descrição
Uma vulnerabilidade foi encontrada na funcionalidade de Foto de Perfil do Part-DB, afetando a função
handleUpload do arquivo AttachmentSubmitHandler.php. A manipulação do argumento attachment resulta em cross-site scripting. O ataque pode ser executado remotamente.Recomendações
Para versões do Part-DB até a 1.17.0, atualize para a versão 1.17.1 para corrigir este problema. Como solução temporária, considere restringir o uso da função
handleUpload do arquivo AttachmentSubmitHandler.php até que a atualização seja aplicada.Exploit
Correção
XSS
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Part-Db