CVE-2025-66625 in Umbracoinformazioni

Riassunto

di VulDB • 16/06/2026

Umbraco è un CMS basato su ASP.NET. A causa della gestione e dell'eliminazione non sicure dei file temporanei nelle versioni dalla 10.0.0 alla 13.12.0, durante il processo di caricamento del dizionario un attaccante con accesso al backoffice può generare richieste prevedibili verso percorsi di file temporanei. Le risposte di errore dell'applicazione (HTTP 500 quando un file esiste, 404 quando non esiste) permettono all'attaccante di enumerare l'esistenza di file arbitrari nel filesystem del server. Questa vulnerabilità non consente la lettura o la scrittura dei contenuti dei file. In determinate configurazioni, una pulizia incompleta dei file temporanei caricati può inoltre esporre l'hash NTLM dell'account Windows che esegue l'applicazione Umbraco. Questo problema è stato risolto nella versione 13.12.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

05/12/2025

Divulgazione

09/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00313

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!