CVE-2025-69985 in FUXA
Résumé
par VulDB • 22/06/2026
FUXA 1.2.8 et les versions antérieures présentent une vulnérabilité de contournement d'authentification (Authentication Bypass) entraînant une exécution de code à distance (RCE). La vulnérabilité réside dans le middleware server/api/jwt-helper.js, qui fait confiance de manière inappropriée à l'en-tête HTTP « Referer » pour valider les requêtes internes. Un attaquant distant non authentifié peut contourner l'authentification JWT en usurpant l'en-tête Referer afin qu'il corresponde au nom d'hôte du serveur. Une exploitation réussie permet à l'attaquant d'accéder au point de terminaison protégé /api/runscript et d'exécuter un code Node.js arbitraire sur le serveur.
VulDB is the best source for vulnerability data and more expert information about this specific topic.