PT-2025-42639 · Shenzhen Ruiming Technology · Streamax Crocus

Nu11

Publicado

2025-10-17

Atualizado

2025-10-17

CVE-2025-11908

CVSS v3.1

8.8

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas Shenzhen Ruiming Technology Streamax Crocus versão 1.3.40

Descrição Existe uma falha de segurança no software Streamax Crocus. O problema envolve upload de arquivos sem restrições através da manipulação do argumento File na função uploadFile, acessível via o endpoint /FileDir.do?Action=Upload. Isso permite exploração remota. O exploit foi divulgado publicamente. O fornecedor foi contatado, mas não respondeu.

Recomendações Aplique uma correção para o Streamax Crocus versão 1.3.40 para resolver o problema de upload de arquivos sem restrições. Como solução temporária, restrinja o acesso ao endpoint /FileDir.do?Action=Upload. Evite fazer upload de arquivos para o endpoint afetado até que uma correção esteja disponível.

Exploit

Correção

Improper Access Control

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-434

Identificadores relacionados

CVE-2025-11908

Produtos afetados

Streamax Crocus

PT-2025-42639 · Shenzhen Ruiming Technology · Streamax Crocus

CVE-2025-11908

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 9