CVE-2025-34120 in LimeSurveyinformazioni

Riassunto

di VulDB • 16/06/2026

È presente una vulnerabilità di download di file non autenticata in LimeSurvey, versioni dalla 2.0+ fino alla 2.06+ Build 151014 incluse. L'applicazione non convalida l'input serializzato inviato all'endpoint di backup dell'amministratore (`index.php/admin/update/sa/backup`), consentendo agli attaccanti di specificare percorsi di file arbitrari utilizzando un payload `datasupdateinfo` manipolato ad hoc. I file vengono compressi in un archivio ZIP e resi disponibili per il download senza autenticazione. Questa vulnerabilità può essere sfruttata per leggere file arbitrari sul sistema host, inclusi file di configurazione e del sistema operativo sensibili.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

17/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.01213

KEV

no

Attività

molto basso

Settore

Education

Fonti

Want to know what is going to be exploited?

We predict KEV entries!