PT-2025-27848 · Unknown · Download Plugin
Ryan Kozak
·
Publicado
2025-07-04
·
Atualizado
2025-07-19
·
CVE-2025-6586
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Plugin Download até e incluindo a 2.2.8
Descrição:
O problema está relacionado à falta de validação de tipo de arquivo na função
dpwap plugin locInstall, permitindo que atacantes autenticados com acesso de nível de Administrador ou superior façam upload de arquivos arbitrários no servidor do site afetado. Isso poderia potencialmente viabilizar a execução remota de código.Recomendações:
Para versões até e incluindo a 2.2.8, considere desabilitar a função
dpwap plugin locInstall até que uma correção esteja disponível para impedir o upload de arquivos arbitrários. Restrinja o acesso à funcionalidade de upload de arquivos do plugin para minimizar o risco de exploração. Evite usar o Plugin Download até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Download Plugin