CVE-2025-1835

Nome do Software Vulnerável e Versões Afetadas osuuu LightPicture versão 1.2.2

Descrição Uma vulnerabilidade crítica foi identificada no osuuu LightPicture, afetando a função de upload no arquivo /app/controller/Api.php. A manipulação do argumento file resulta em upload sem restrições. O ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente e pode ser utilizado.

Recomendações Para o osuuu LightPicture versão 1.2.2, considere desativar a função de upload em /app/controller/Api.php até que um patch esteja disponível para prevenir o upload de arquivos sem restrições. Restrinja o acesso ao arquivo /app/controller/Api.php para minimizar o risco de exploração. Evite utilizar o argumento file no endpoint da API afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.