PT-2025-9178 · Unknown · Zorlan Skycaiji
Sheratan
+1
·
Publicado
2025-03-01
·
Atualizado
2025-06-12
·
CVE-2025-1791
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Zorlan SkyCaiji versão 2.9
Descrição
Uma vulnerabilidade crítica foi encontrada no Zorlan SkyCaiji, afetando a função
fileAction do arquivo vendor/skycaiji/app/admin/controller/Tool.php. A manipulação do argumento save data resulta em upload sem restrições. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado.Recomendações
Como solução temporária, considere desativar a função
fileAction até que um patch esteja disponível.
Restrinja o acesso ao arquivo vendor/skycaiji/app/admin/controller/Tool.php para minimizar o risco de exploração.
Evite utilizar o argumento save data na função afetada até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Improper Access Control
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zorlan Skycaiji