CVE ID | CVE-2025-7063 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-7065 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
Źródło zgłoszenia | Zgłoszenie do CERT Polska |
CVE ID | CVE-2025-8116 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8117 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Missing Initialization of Resource (CWE-909) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8118 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Client-Side Enforcement of Server-Side Security (CWE-602) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8119 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Cross-Site Request Forgery (CSRF) (CWE-352) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8120 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8121 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
Źródło zgłoszenia | Badania własne |
CVE ID | CVE-2025-8122 |
Data publikacji | 30 września 2025 |
Producent podatnego oprogramowania | Polska Akademia Dostępności |
Nazwa podatnego oprogramowania | PAD CMS |
Podatne wersje | Wszystkie do 1.2.1 włącznie |
Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska koordynował proces ujawniania informacji o 9 podatnościach w oprogramowaniu PAD CMS.
Zgłoszone podatności
Podatność CVE-2025-7063: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania plików w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem, co może prowadzić do zdalnego wykonania kodu.
Podatność CVE-2025-7065: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania zdjęć w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzeniu, co może prowadzić do zdalnego wykonania kodu.
Badania własne
Podatność CVE-2025-8116: PAD CMS jest podatny na atak typu Reflected XSS w funkcjonalności drukowania oraz zapisu do PDF. Złośliwy atakujący może przygotować specjalny adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
Podatność CVE-2025-8117: PAD CMS niepoprawnie inicjalizuje parametr używany do odzyskiwania hasła, co umożliwia zmianę hasła dowolnego użytkownika, który nie skorzystał wcześniej z funkcji resetowania hasła.
Podatność CVE-2025-8118: PAD CMS niepoprawnie implementuję ochronę przed atakami typu brute-force wykorzystując kontrolowane przez klienta ciasteczka: login_count
oraz login_timeout
. Informacje o liczbie prób logowania oraz czasie blokady nie są przechowywane po stronie serwera, co pozwala złośliwemu atakującemu obejść ochronę przed atakami typu brute-force poprzez resetowanie tych ciasteczek.
Podatność CVE-2025-8119: PAD CMS jest podatny na atak typu Cross-Site Request Forgery w funkcji resetowania hasła. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez ofiarę automatycznie wyśle żądanie POST zmieniające hasło aktualnie zalogowanego użytkownika na wartość zdefiniowaną przez atakującego.
Podatność CVE-2025-8120: Ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania zdjęć w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzeniu, co może prowadzić do zdalnego wykonania kodu.
Podatność CVE-2025-8121: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.
Podatność CVE-2025-8122: Nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.
Te podatności występują we wszystkich 3 szablonach: www, bip and www+bip. Wsparcie dla tego produktu się skończyło, w związku z czym producent nie planuje publikacji poprawek dla tych podatności.
Podziękowania
Za zgłoszenie podatności CVE-2025-7063 oraz CVE-2025-7065 dziękujemy Kamilowi Szczurowskiemu i Robertowi Kruczkowi. Pozostałe podatności zostały znalezione w ramach badań własnych CERT Polska.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.