CVE-2025-25968

Nome do Software Vulnerável e Versões Afetadas DDSN Interactive cm3 Acora CMS versão 10.1.1

Descrição O problema refere-se a uma vulnerabilidade de controle de acesso inadequado. Um usuário com privilégios de editor pode acessar informações sensíveis, como credenciais de administrador do sistema, através de navegação forçada no endpoint e exploração do parâmetro file. Ao referenciar arquivos específicos (por exemplo, cm3.xml), os atacantes podem contornar os controles de acesso, levando à tomada de conta e possível elevação de privilégios.

Recomendações Para a versão 10.1.1, considere desativar a capacidade de realizar navegação forçada no endpoint e restringir o uso do parâmetro file para prevenir a exploração até que um patch esteja disponível. Restrinja o acesso a arquivos sensíveis, como cm3.xml, para minimizar o risco de tomada de conta e elevação de privilégios.