| CVE ID | CVE-2025-12462 |
| Data publikacji | 02 marca 2026 |
| Producent podatnego oprogramowania | Studio Fabryka |
| Nazwa podatnego oprogramowania | DobryCMS |
| Podatne wersje | Do 8.0 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') (CWE-89) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
| CVE ID | CVE-2025-14532 |
| Data publikacji | 02 marca 2026 |
| Producent podatnego oprogramowania | Studio Fabryka |
| Nazwa podatnego oprogramowania | DobryCMS |
| Podatne wersje | Od 1.0 do 1.* włącznie Od 2.0 do 2.* włącznie 5.0 |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Zgłoszenie do CERT Polska |
Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu DobryCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-12462: W DobryCMS zidentyfikowano podatność typu Blind SQL Injection. Zdalny, nieuwierzytelniony atakujący może wstrzykiwać dowolne kwerendy w języku SQL w ścieżce URL.
Ten problem zostały naprawiony w wersjach powyżej 8.0.
Podatność CVE-2025-14532: Funkcjonalność przesyłania plików w DobryCMS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem bez jakichkolwiek ograniczeń, co może prowadzić do zdalnego wykonania kodu.
Ten problem zostały naprawiony w wersjach powyżej 5.0.
Podziękowania
Za zgłoszenie podatności Blind SQL Injection dziękujemy Jarosławowi Wieczorkowi, Pawłowi Berusowi, Kacprowi Gendoszowi oraz Karolinie Buchnat. Natomiast za zgłoszenie dotyczące podatności Unrestricted File Upload dziękujemy Dawidowi Radzińskiemu z RED SECURITY.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.