Opis podatności

CERT Polska koordynował proces ujawniania informacji o 9 podatnościach w oprogramowaniu PAD CMS.

Zgłoszone podatności

Podatność CVE-2025-7063: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania plików w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem, co może prowadzić do zdalnego wykonania kodu.

Podatność CVE-2025-7065: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania zdjęć w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzeniu, co może prowadzić do zdalnego wykonania kodu.

Badania własne

Podatność CVE-2025-8116: PAD CMS jest podatny na atak typu Reflected XSS w funkcjonalności drukowania oraz zapisu do PDF. Złośliwy atakujący może przygotować specjalny adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

Podatność CVE-2025-8117: PAD CMS niepoprawnie inicjalizuje parametr używany do odzyskiwania hasła, co umożliwia zmianę hasła dowolnego użytkownika, który nie skorzystał wcześniej z funkcji resetowania hasła.

Podatność CVE-2025-8118: PAD CMS niepoprawnie implementuję ochronę przed atakami typu brute-force wykorzystując kontrolowane przez klienta ciasteczka: login_count oraz login_timeout. Informacje o liczbie prób logowania oraz czasie blokady nie są przechowywane po stronie serwera, co pozwala złośliwemu atakującemu obejść ochronę przed atakami typu brute-force poprzez resetowanie tych ciasteczek.

Podatność CVE-2025-8119: PAD CMS jest podatny na atak typu Cross-Site Request Forgery w funkcji resetowania hasła. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez ofiarę automatycznie wyśle żądanie POST zmieniające hasło aktualnie zalogowanego użytkownika na wartość zdefiniowaną przez atakującego.

Podatność CVE-2025-8120: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania zdjęć w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzeniu, co może prowadzić do zdalnego wykonania kodu.

Podatność CVE-2025-8121: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.

Podatność CVE-2025-8122: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.

Te podatności występują we wszystkich 3 szablonach: www, bip and www+bip. Wsparcie dla tego produktu się skończyło, w związku z czym producent nie planuje publikacji poprawek dla tych podatności.

Podziękowania

Za zgłoszenie podatności CVE-2025-7063 oraz CVE-2025-7065 dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi. Pozostałe podatności zostały znalezione w ramach badań własnych CERT Polska.