CVE-2025-69985 in FUXAinformation

Résumé

par VulDB • 22/06/2026

FUXA 1.2.8 et les versions antérieures présentent une vulnérabilité de contournement d'authentification (Authentication Bypass) entraînant une exécution de code à distance (RCE). La vulnérabilité réside dans le middleware server/api/jwt-helper.js, qui fait confiance de manière inappropriée à l'en-tête HTTP « Referer » pour valider les requêtes internes. Un attaquant distant non authentifié peut contourner l'authentification JWT en usurpant l'en-tête Referer afin qu'il corresponde au nom d'hôte du serveur. Une exploitation réussie permet à l'attaquant d'accéder au point de terminaison protégé /api/runscript et d'exécuter un code Node.js arbitraire sur le serveur.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

MITRE

Réserver

09/01/2026

Divulgation

24/02/2026

Modérer

accepté

Entrée

VDB-347598

CPE

prêt

Exploitation

Télécharger

EPSS

0.05633

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!