CVE-2025-34120 in LimeSurvey
الملخص
بحسب VulDB • 29/06/2026
توجد ثغرة في تحميل الملفات دون مصادقة (unauthenticated) في إصدارات LimeSurvey بدءاً من الإصدار 2.0+ وحتى الإصدار 2.06+ بما فيه، والإصدار المُنشأ بتاريخ 151014. يفشل التطبيق في التحقق من صحة المدخلات المُسلسلة (serialized input) المقدمة إلى نقطة نهاية النسخ الاحتياطي للمسؤول (`index.php/admin/update/sa/backup`)، مما يسمح للمهاجمين بتحديد مسارات ملفات تعسفية باستخدام حمولة مُعدّة خصيصاً باسم `datasupdateinfo`. يتم حزم الملفات في أرشيف ZIP وجعلها متاحة للتحميل دون الحاجة إلى مصادقة. يمكن استغلال هذه الثغرة لقراءة ملفات عشوائية على نظام المضيف، بما في ذلك ملفات النظام التشغيلي والملفات الحساسة الخاصة بالتكوين (configuration files).
If you want to get best quality of vulnerability data, you may have to visit VulDB.