CVE-2025-34097

Nome do Software Vulnerável e Versões Afetadas: Versões do ProcessMaker anteriores a 3.5.4

Descrição: Existe uma vulnerabilidade de upload de arquivo sem restrições devido à manipulação inadequada de arquivos de plugin enviados. Um atacante com privilégios administrativos pode enviar um arquivo de plugin .tar malicioso contendo código PHP arbitrário. Durante a instalação, o método install() do plugin é invocado, resultando na execução de código PHP fornecido pelo atacante no servidor com os privilégios do usuário do servidor web. Esta vulnerabilidade pode ser encadeada com uma falha de escalonamento de privilégios para alcançar execução remota de código completa a partir de uma conta com baixos privilégios.

Recomendações: Atualize para a versão 3.5.4 ou posterior.