Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00061

Опубликовано: 22 апр. 2025
Источник: fstec
CVSS3: 5
CVSS2: 4
EPSS Низкий

Описание

Уязвимость функции file upload программной платформы для проведения аудиозвонков и видеозвонков Unblu Spark связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы

Вендор

Unblu Inc.

Наименование ПО

Unblu Spark

Версия ПО

до 8.13.1 (Unblu Spark)
до 7.54.1 (Unblu Spark)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.unblu.com/en/docs/latest/security-bulletins/#UBL-2025-002

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00051
Низкий

5 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-3518

CVSS3: 4.3
nvd
10 месяцев назад

It technically possible for a user to upload a file to a conversation despite the file upload functionality being disabled. The file upload functionality can be enabled or disabled for specific use cases through configuration. In case the functionality is disabled for at least one use case, the system nevertheless allows files to be uploaded through direct API requests. During the upload file, interception and allowed file type rules are still applied correctly. If file sharing is generally enabled, this issue is not of concern.

github логотип

GHSA-4mxw-7rp7-fhjr

CVSS3: 4.3
github
10 месяцев назад

It technically possible for a user to upload a file to a conversation despite the file upload functionality being disabled. The file upload functionality can be enabled or disabled for specific use cases through configuration. In case the functionality is disabled for at least one use case, the system nevertheless allows files to be uploaded through direct API requests. During the upload file, interception and allowed file type rules are still applied correctly. If file sharing is generally enabled, this issue is not of concern.

EPSS

Процентиль: 16%
0.00051
Низкий

5 Medium

CVSS3

4 Medium

CVSS2