CVE-2025-58048

Nome do Software Vulnerável e Versões Afetadas Versões do Paymenter anteriores à 1.2.11

Descrição O Paymenter é uma solução de loja virtual gratuita e de código aberto para hospedagens. A funcionalidade de anexos de tickets permite que um usuário autenticado malicioso faça upload de arquivos arbitrários. Isso pode resultar na extração de dados sensíveis do banco de dados, na leitura de credenciais em arquivos de configuração e na execução de comandos arbitrários do sistema sob o contexto do usuário do servidor web.

Recomendações Atualize para a versão 1.2.11 ou posterior. Atualize a configuração do nginx para baixar anexos em vez de executá-los. Bloqueie o acesso a /storage/ usando um WAF como o Cloudflare.