CVE-2025-63414

Nome do Software Vulnerável e Versões Afetadas Allsky WebUI versão v2024.12.06 06

Descrição Existe uma falha de path traversal no Allsky WebUI versão v2024.12.06 06 que permite a um atacante remoto não autenticado executar comandos no sistema. Isso é realizado mediante o envio de uma solicitação HTTP especialmente elaborada ao endpoint da API /html/execute.php, utilizando um payload malicioso dentro do parâmetro id. A exploração bem-sucedida resulta em execução arbitrária de comandos, potencialmente levando à execução remota de código completa (RCE).

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao endpoint /html/execute.php. Evite utilizar o parâmetro id no endpoint da API afetado até que o problema seja resolvido.