PT-2025-22793 · Shopxo · Shopxo
Qianyi
·
Publicado
2025-05-23
·
Atualizado
2025-07-02
·
CVE-2025-5108
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
ShopXO versão 6.5.0
Descrição
Um problema crítico afeta a função de Upload do arquivo app/admin/controller/Payment.php no componente de Manipulação de Arquivos ZIP. A manipulação do argumento
params resulta em upload irrestrito. Esta vulnerabilidade pode ser explorada remotamente.Recomendações
Para a versão 6.5.0, como medida temporária, considere desativar a função de Upload no controller Payment até que uma correção esteja disponível. Restrinja o acesso ao arquivo app/admin/controller/Payment.php para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Shopxo