CVE-2025-34046

Nome do Software Vulnerável e Versões Afetadas: Fanwei E-Office versões <= 9.4

Descrição: Existe uma vulnerabilidade de upload de arquivo não autenticado na interface de gerenciamento web, afetando o endpoint "/general/index/UploadFile.php". Este endpoint não valida adequadamente os arquivos enviados quando invocado com certos parâmetros, como uploadType=eoffice logo ou uploadType=theme. Um atacante pode explorar essa falha enviando uma requisição HTTP POST manipulada para fazer upload de arquivos arbitrários sem autenticação, potencialmente permitindo a execução remota de código no servidor afetado. Isso poderia levar ao comprometimento completo da aplicação web e do sistema subjacente.

Recomendações: Para as versões do Fanwei E-Office <= 9.4, como solução temporária, considere desabilitar o endpoint "/general/index/UploadFile.php" até que um patch esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o parâmetro uploadType no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.