CVE-2025-34076

Nome do Software Vulnerável e Versões Afetadas: Versões do Microweber CMS <= 1.2.11

Descrição: Existe uma vulnerabilidade de inclusão de arquivo local autenticada devido ao uso indevido da API de gerenciamento de backup. Usuários autenticados podem explorar os endpoints /api/BackupV2/upload e /api/BackupV2/download para ler arquivos arbitrários do sistema de arquivos subjacente, especificando um caminho de arquivo absoluto no parâmetro src da solicitação de upload. Isso permite a divulgação de arquivos locais devido à validação insuficiente dos caminhos fornecidos pelo usuário e restrições inadequadas no acesso a arquivos e na lógica de backup.

Recomendações: Para versões do Microweber CMS <= 1.2.11, considere desabilitar os endpoints /api/BackupV2/upload e /api/BackupV2/download até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso à API de gerenciamento de backup para minimizar o risco de divulgação arbitrária de arquivos. Evite usar o parâmetro src na solicitação de upload para impedir a especificação de caminhos de arquivo absolutos.