CVE-2025-34120 in LimeSurveyinfo

Zusammenfassung

von VulDB • 26.06.2026

In LimeSurvey-Versionen ab 2.0+ bis einschließlich 2.06+ Build 151014 besteht eine nicht authentifizierte Schwachstelle zum Herunterladen von Dateien. Die Anwendung validiert keine serialisierten Eingaben für den Admin-Backup-Endpunkt (`index.php/admin/update/sa/backup`), wodurch Angreifer beliebige Dateipfade unter Verwendung eines speziell erstellten `datasupdateinfo`-Payloads angeben können. Die Dateien werden in einem ZIP-Archiv verpackt und ohne Authentifizierung zum Download bereitgestellt. Diese Schwachstelle kann ausgenutzt werden, um beliebige Dateien auf dem Hostsystem zu lesen, einschließlich sensibler OS- und Konfigurationsdateien.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

17.07.2025

Moderieren

akzeptiert

Eintrag

VDB-316719

CPE

bereit

EPSS

0.01213

KEV

nein

Aktivitäten

very low

Sektor

Education

Quellen

Interested in the pricing of exploits?

See the underground prices here!