TOTVS Portal Meu RH jusqu’à 12.1.17 Password Reset redirectUrl Redirect
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité classée problématique a été trouvée dans TOTVS Portal Meu RH jusqu’à 12.1.17. Affecté par cette vulnérabilité est une fonction inconnue du composant Password Reset Handler. La manipulation du paramètre redirectUrl avec une valeur d'entrée inconnue mène à une vulnérabilité de classe Redirect. Cette vulnérabilité est identifiée comme CVE-2025-9193. Il est possible de lancer l'attaque à distance. De plus, un exploit est disponible. La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version.
Détails
Une vulnérabilité a été trouvé dans TOTVS Portal Meu RH jusqu’à 12.1.17 et classée problématique. Ceci affecte une fonction inconnue du composant Password Reset Handler. A cause de la manipulation du paramètre redirectUrl avec une valeur d'entrée inconnue mène à une vulnérabilité de classe redirect.
La vulnerabilité a été publié par Eduardo Schwarz (confirmé). La notice d'information est disponible en téléchargement sur drive.google.com Cette vulnérabilité a été nommée CVE-2025-9193. L'utilisation est simple. L'attaque peut être initialisée à distance. Des details techniques et aussi un privé exploit sont connus.
L'exploit est disponible au téléchargment sur drive.google.com. Il est déclaré comme preuve de concept.
Mettre à jour à la version 12.1.2410.274, 12.1.2502.178 ou 12.1.2506.121 élimine cette vulnérabilité.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produit
Fournisseur
Nom
Version
- 12.1.0
- 12.1.1
- 12.1.2
- 12.1.3
- 12.1.4
- 12.1.5
- 12.1.6
- 12.1.7
- 12.1.8
- 12.1.9
- 12.1.10
- 12.1.11
- 12.1.12
- 12.1.13
- 12.1.14
- 12.1.15
- 12.1.16
- 12.1.17
Support
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔒VulDB Fiabilité: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vecteur: 🔒
CVSSv3
VulDB Score méta-base: 3.5VulDB Score méta-temporaire: 3.3
VulDB Note de base: 3.5
VulDB Note temporaire: 3.2
VulDB Vecteur: 🔒
VulDB Fiabilité: 🔍
CNA Note de base: 3.5
CNA Vecteur: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔒
VulDB Note temporaire: 🔒
VulDB Fiabilité: 🔍
Exploitation
Classe: RedirectCWE: CWE-601
CAPEC: 🔒
ATT&CK: 🔒
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔒
Accès: Privé
Statut: Preuve de concept
Télécharger: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔒
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: Mise à niveauStatut: 🔍
Heure 0 jour: 🔒
Mise à niveau: Portal Meu RH 12.1.2410.274/12.1.2502.178/12.1.2506.121
Chronologie
19/08/2025 Avis publié19/08/2025 Entrée VulDB créée
25/08/2025 Dernière mise à jour VulDB
Sources
Bulletin: drive.google.comChercheur: Eduardo Schwarz
Statut: Confirmé
CVE: CVE-2025-9193 (🔒)
GCVE (CVE): GCVE-0-2025-9193
GCVE (VulDB): GCVE-100-320579
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 19/08/2025 19:19Mise à jour: 25/08/2025 16:13
Changements: 19/08/2025 19:19 (59), 20/08/2025 06:48 (30), 20/08/2025 12:37 (1), 22/08/2025 14:12 (1), 25/08/2025 16:13 (1)
Complet: 🔍
Auteur: Trenshyiavv
Committer: Trenshyiavv
Cache ID: 216::103
Soumettre
Accepté
- Soumettre #636360: TOTVS Portal Meu RH 12.1.17 Open Redirect combined with phishing in password reset (par Trenshyiavv)
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.