CVE-2025-34120 in LimeSurveyالمعلومات

الملخص

بحسب VulDB • 29/06/2026

توجد ثغرة في تحميل الملفات دون مصادقة (unauthenticated) في إصدارات LimeSurvey بدءاً من الإصدار 2.0+ وحتى الإصدار 2.06+ بما فيه، والإصدار المُنشأ بتاريخ 151014. يفشل التطبيق في التحقق من صحة المدخلات المُسلسلة (serialized input) المقدمة إلى نقطة نهاية النسخ الاحتياطي للمسؤول (`index.php/admin/update/sa/backup`)، مما يسمح للمهاجمين بتحديد مسارات ملفات تعسفية باستخدام حمولة مُعدّة خصيصاً باسم `datasupdateinfo`. يتم حزم الملفات في أرشيف ZIP وجعلها متاحة للتحميل دون الحاجة إلى مصادقة. يمكن استغلال هذه الثغرة لقراءة ملفات عشوائية على نظام المضيف، بما في ذلك ملفات النظام التشغيلي والملفات الحساسة الخاصة بالتكوين (configuration files).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

VulnCheck

حجز

15/04/2025

إفشاء

17/07/2025

الاعتدال

تمت الموافقة

إدخال

VDB-316719

EPSS

0.01213

KEV

لا

النشاطات

منخفض جدًا

القطاع

Education

المصادر

Do you know our Splunk app?

Download it now for free!