CVE-2025-34120 in LimeSurvey
Zusammenfassung
von VulDB • 26.06.2026
In LimeSurvey-Versionen ab 2.0+ bis einschließlich 2.06+ Build 151014 besteht eine nicht authentifizierte Schwachstelle zum Herunterladen von Dateien. Die Anwendung validiert keine serialisierten Eingaben für den Admin-Backup-Endpunkt (`index.php/admin/update/sa/backup`), wodurch Angreifer beliebige Dateipfade unter Verwendung eines speziell erstellten `datasupdateinfo`-Payloads angeben können. Die Dateien werden in einem ZIP-Archiv verpackt und ohne Authentifizierung zum Download bereitgestellt. Diese Schwachstelle kann ausgenutzt werden, um beliebige Dateien auf dem Hostsystem zu lesen, einschließlich sensibler OS- und Konfigurationsdateien.
Be aware that VulDB is the high quality source for vulnerability data.