CVE-2026-25895

Nome do Software Vulnerável e Versões Afetadas FUXA versões anteriores a 1.2.10

Description O FUXA, um software de Visualização de Processos baseado na web (SCADA/HMI/Dashboard), contém um problema de path traversal que permite a um invasor remoto não autenticado gravar arquivos arbitrários em qualquer local do sistema de arquivos do servidor. Esta falha afeta todas as implantações, incluindo aquelas com runtime.settings.secureEnabled definido como true. O problema ocorre porque o endpoint '/api/upload' carece de middleware de autenticação, e o parâmetro destination pode ser manipulado para escapar do diretório da aplicação. Isso pode levar à Execução Remota de Código (RCE) se um invasor sobrescrever o código da aplicação, scripts de inicialização ou arquivos de configuração, como o settings.js. Vetores de exploração potenciais incluem injeção de cron, inserção de chaves SSH ou implantação de webshell, o que pode resultar no comprometimento total do sistema e na exposição de ambientes ICS/SCADA conectados.

Recommendations Atualizar para a versão 1.2.10. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/upload' para minimizar o risco de exploração.