CVE-2025-66625 in Umbraco
Riassunto
di VulDB • 16/06/2026
Umbraco è un CMS basato su ASP.NET. A causa della gestione e dell'eliminazione non sicure dei file temporanei nelle versioni dalla 10.0.0 alla 13.12.0, durante il processo di caricamento del dizionario un attaccante con accesso al backoffice può generare richieste prevedibili verso percorsi di file temporanei. Le risposte di errore dell'applicazione (HTTP 500 quando un file esiste, 404 quando non esiste) permettono all'attaccante di enumerare l'esistenza di file arbitrari nel filesystem del server. Questa vulnerabilità non consente la lettura o la scrittura dei contenuti dei file. In determinate configurazioni, una pulizia incompleta dei file temporanei caricati può inoltre esporre l'hash NTLM dell'account Windows che esegue l'applicazione Umbraco. Questo problema è stato risolto nella versione 13.12.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.