CVE-2025-1336

Nome do Software Vulnerável e Versões Afetadas: CmsEasy versão 7.7.7.9

Descrição: Uma vulnerabilidade foi encontrada na função deleteimg action na biblioteca lib/admin/image admin.php. A manipulação do argumento imgname resulta em path traversal. O ataque pode ser executado remotamente. O fornecedor foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações: Para o CmsEasy versão 7.7.7.9, como medida temporária, considere desativar a função deleteimg action até que uma correção esteja disponível. Restrinja o acesso à biblioteca lib/admin/image admin.php para minimizar o risco de exploração. Evite usar o argumento imgname na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.