Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Raytha i koordynował proces ujawniania informacji.

Podatność CVE-2025-15540: Moduł "Functions" w Raytha CMS umożliwia uprzywilejowanym użytkownikom pisanie niestandardowego kodu w celu dodania funkcjonalności do aplikacji. Ze względu na brak izolacji lub ograniczeń dostępu, kod JavaScript wykonywany za pomocą funkcjonalności "functions" może tworzyć elementy środowiska .NET i wykonywać dowolne operacje w środowisku hostującym aplikację.

Podatność CVE-2025-69236: Oprogramowanie Raytha CMS jest podatne na atak typu Stored XSS w parametrze FieldValues[1].Value w funkcjonalności edycji postów. Umożliwia to uwierzytelnionemu atakującemu z uprawnieniami do edycji postów umieszczenie dowolnego kodu HTML i JS na stronę, który będzie wykonany podczas odwiedzania zedytowanej strony.

Podatność CVE-2025-69237: Oprogramowanie Raytha CMS jest podatne na atak typu Stored XSS w parametrze FieldValues[0].Value w funkcjonalności tworzenia stron. Uwierzytelniony atakujący z uprawnieniami do tworzenia treści może umieścić dowolny kod HTML i JS na stronie, który będzie wykonany podczas odwiedzania zedytowanej strony.

Podatność CVE-2025-69238: Oprogramowanie Raytha CMS jest podatne na atak typu Cross-Site Request Forgery w wielu miejscach w produkcie. Atakujący może stworzyć specjalną stronę, która, po odwiedzeniu przez uwierzytelnioną ofiarę, automatycznie wyśle żądanie POST do endpointu (np. usunięcie danych) bez wymuszania weryfikacji tokenu.

Podatność CVE-2025-69239: Oprogramowanie Raytha CMS jest podatne na atak typu Server-Side Request Forgery w funkcji „Themes - Import from URL”. Umożliwia to atakującemu z wysokimi uprawnieniami podanie adresu URL, na który zostanie przekierowane serwerowe żądanie HTTP.

Podatność CVE-2025-69240: W Raytha CMS istnieje możliwość podszycia się pod nagłówki X-Forwarded-Host lub Host wskazując na domenę kontrolowaną przez atakującego. Atakujący (który zna adres e-mail ofiary) może zmusić serwer do wysłania wiadomości e-mail z linkiem do resetowania hasła wskazującym na domenę ze zmienionego nagłówka. Gdy ofiara kliknie link, przeglądarka wyśle żądanie do domeny atakującego z tokenem w ścieżce, co umożliwia atakującemu przechwycenie tokenu. To pozwala atakującemu zresetować hasło ofiary i przejąć kontrolę nad jej kontem.

Podatność CVE-2025-69241: Oprogramowanie Raytha CMS jest podatne na atak typu Stored XSS w parametrach FirstName i LastName w funkcjonalności edycji profilu. Uwierzytelniony atakujący może umieścić dowolny kod HTML i JS na stronie, który zostanie wykonany podczas odwiedzania zedytowanej strony.

Podatność CVE-2025-69242: Oprogramowanie Raytha CMS jest podatne na atak typu Reflected XSS w parametrze backToListUrl. Atakujący może przygotować złośliwy URL, którego otwarcie przez uwierzytelnioną ofiarę prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary.

Podatność CVE-2025-69243: Raytha CMS umożliwia enumerację użytkowników w funkcjonalności resetowania hasła. Różnice w komunikatach umożliwiają atakującemu wyznaczenie, czy login jest prawidłowy, co może prowadzić do ataku typu brute-force z wykorzystaniem prawidłowych loginów.

Podatność CVE-2025-69245: Oprogramowanie Raytha CMS jest podatne na atak typu Reflected XSS w parametrze returnUrl w funkcjonalności logowania. Atakujący może stworzyć złośliwy URL, który, gdy zostanie otwarty przez uwierzytelnioną ofiarę, prowadzi do wykonania dowolnego kodu JavaScript w przeglądarce ofiary.

Podatność CVE-2025-69246: Raytha CMS nie posiada żadnego mechanizmu ochrony przed atakami typu brute-force. Umożliwia to atakującemu wysyłanie wielu zautomatyzowanych żądań logowania bez wyzwalania blokady, ograniczenia lub dodatkowych zabezpieczeń.

Problem opisany w CVE-2025-69243 został rozwiązany w wersji 1.5.0. Pozostałe problemy zostały rozwiązane w wersji 1.4.6.

Podziękowania

Dziękujemy Danielowi Baście za zgłoszenie znalezionych przez siebie podatności: CVE-2025-15540, CVE-2025-69246 oraz od CVE-2025-69236 do CVE-2025-69243 oraz za wsparcie udzielone Patrykowi Kieszkowi w znalezieniu podatności CVE-2025-69245.