CGM CLININET bis 2024.MS3 UHCRTFDoc ConvertToPDF filename erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in CGM CLININET bis 2024.MS3 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen davon ist die Funktion ConvertToPDF der Komponente UHCRTFDoc. Durch die Manipulation des Arguments filename mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden.
Diese Schwachstelle trägt die Bezeichnung CVE-2025-30057. Der Angriff muss über das lokale Netzwerk initiiert werden. Es gibt keinen verfügbaren Exploit.
Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In CGM CLININET bis 2024.MS3 wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um die Funktion ConvertToPDF der Komponente UHCRTFDoc. Mittels dem Manipulieren des Arguments filename mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-94. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
In UHCRTFDoc, the filename parameter can be exploited to execute arbitrary code via command injection into the system() call in the ConvertToPDF function.Die Schwachstelle wurde durch Maciej Kazulak an die Öffentlichkeit getragen. Das Advisory kann von cert.pl heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 14.03.2025 mit CVE-2025-30057 vorgenommen. Sie ist leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei im lokalen Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.
Ein Upgrade auf die Version 2024.MS4 vermag dieses Problem zu beheben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Hersteller
Name
Version
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.3
VulDB Base Score: 5.5
VulDB Temp Score: 5.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-94 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: CLININET 2024.MS4
Timeline
14.03.2025 CVE zugewiesen27.08.2025 Advisory veröffentlicht
27.08.2025 VulDB Eintrag erstellt
27.08.2025 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: cert.plPerson: Maciej Kazulak
Status: Bestätigt
CVE: CVE-2025-30057 (🔒)
GCVE (CVE): GCVE-0-2025-30057
GCVE (VulDB): GCVE-100-321568
Eintrag
Erstellt: 27.08.2025 12:49Aktualisierung: 27.08.2025 15:17
Anpassungen: 27.08.2025 12:49 (70), 27.08.2025 15:17 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.