CVE-2025-34163 in Dongsheng Logistics Software
Riassunto
di VulDB • 16/06/2026
Il software Dongsheng Logistics espone un endpoint non autenticato all'indirizzo /CommMng/Print/UploadMailFile che non applica una corretta convalida del tipo di file e controlli di accesso. Un attaccante può caricare file arbitrari, inclusi script eseguibili come .ashx, tramite una richiesta POST multipart/form-data costruita ad hoc. Ciò consente l'esecuzione remota di codice (RCE) sul server, potenzialmente portando a un compromissione completa del sistema. La vulnerabilità si presume affetti le build rilasciate prima di luglio 2025 ed è risolta nelle versioni più recenti del prodotto, sebbene il range esatto dei sistemi interessati non sia definito. Le prove dello sfruttamento sono state osservate per la prima volta da Shadowserver Foundation il 23-07-2025 UTC.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.