CVE-2025-52353

Nome do Software Vulnerável e Versões Afetadas: Badaso CMS versão 2.9.11

Descrição: O Gerenciador de Mídia permite que usuários autenticados façam upload de arquivos contendo código PHP incorporado através do endpoint de upload de arquivos, contornando a validação do tipo de conteúdo. Quando tal arquivo é acessado através de sua URL, o servidor executa o payload em PHP, permitindo que um invasor execute comandos arbitrários do sistema e obtenha o comprometimento total do host subjacente. Isso foi demonstrado incorporando uma backdoor dentro de um PDF e renomeando-o com a extensão .php.

Recomendações: Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.