PT-2025-50565 · Form.Io · Form.Io
Publicado
2025-12-11
·
Atualizado
2025-12-11
·
CVE-2025-67718
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Form.io 3.5.6 e anteriores, e 4.0.0-rc.1 até 4.4.2
Descrição
Existe uma falha na manipulação de caminho que pode permitir que um atacante acesse endpoints de API protegidos ao enviar um caminho de requisição manipulado. Uma requisição não autenticada ou não autorizada pode potencialmente recuperar dados de endpoints que deveriam estar protegidos.
Recomendações
Atualize para a versão 3.5.7 ou posterior.
Atualize para a versão 4.4.3 ou posterior.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Form.Io