Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-q62r-8ppj-xvf4

Опубликовано: 09 апр. 2025
Источник: github
Github: Прошло ревью
CVSS3: 8.8

Описание

Umbraco has a Management API Vulnerability to Path Traversal With Authenticated Users

Impact

Authenticated users to the Umbraco backoffice are able to craft management API request that exploit a path traversal vulnerability to upload files into a incorrect location.

Patches

The issue affects Umbraco 14+ and is patched in 14.3.4 and 15.3.1.

Workarounds

Umbraco supports the configuration of allowed and disallowed file extensions. Using these options to allow only necessary file extensions significantly reduces the scope of the vulnerability.

Ссылки

Пакеты

Наименование

Umbraco.Cms

nuget
Затронутые версииВерсия исправления

>= 14.0.0--preview004, < 14.3.4

14.3.4

Наименование

Umbraco.Cms

nuget
Затронутые версииВерсия исправления

>= 15.0.0-rc1, < 15.3.1

15.3.1

EPSS

Процентиль: 59%
0.00388
Низкий

8.8 High

CVSS3

CVE ID

CVE-2025-32017

Дефекты

CWE-22
CWE-23

Связанные уязвимости

nvd логотип

CVE-2025-32017

CVSS3: 8.8
nvd
10 месяцев назад

Umbraco is a free and open source .NET content management system. Authenticated users to the Umbraco backoffice are able to craft management API request that exploit a path traversal vulnerability to upload files into a incorrect location. The issue affects Umbraco 14+ and is patched in 14.3.4 and 15.3.1.

fstec логотип

BDU:2026-00060

CVSS3: 8.8
fstec
10 месяцев назад

Уязвимость системы управления контентом Umbraco CMS, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 59%
0.00388
Низкий

8.8 High

CVSS3

CVE ID

CVE-2025-32017

Дефекты

CWE-22
CWE-23