CVE-2025-1335

Nome do Software Vulnerável e Versões Afetadas: CmsEasy versão 7.7.7.9

Descrição: Uma vulnerabilidade foi encontrada na função deleteimg action na biblioteca lib/admin/file admin.php. A manipulação do argumento imgname resulta em path traversal. É possível executar o ataque remotamente. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações: Para o CmsEasy versão 7.7.7.9, como uma solução temporária (workaround), considere desativar a função deleteimg action até que um patch esteja disponível. Restrinja o acesso à biblioteca lib/admin/file admin.php para minimizar o risco de exploração. Evite usar o argumento imgname na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.