TOTVS Portal Meu RH fino a 12.1.17 Password Reset redirectUrl Redirect
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 3.3 | $0-$5k | 0.00 |
Riassunto
Una vulnerabilità di livello problematico è stata rilevata in TOTVS Portal Meu RH fino a 12.1.17. Riguarda una funzione sconosciuta del componente Password Reset Handler. Attraverso l'influenza del parametro redirectUrl di un input sconosciuto per mezzo di una vulerabilità di classe Redirect. Questo punto di criticità è identificato come CVE-2025-9193. Dalla rete può partire l'attacco. Inoltre, è presente un exploit disponibile. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione.
Dettagli
Un punto di debole di livello problematico è stato rilevato in TOTVS Portal Meu RH fino a 12.1.17. É interessato una funzione sconosciuta del componente Password Reset Handler. Attraverso l'influenza del parametro redirectUrl di un input sconosciuto conseguenza di una vulerabilità di classe redirect. Gli effetti sono noti per la integrità.
La vulnerabilità è stata pubblicata in data da Eduardo Schwarz (confermato). L'advisory è scaricabile da drive.google.com. CVE-2025-9193 è identificato come punto debole. Lo sfruttamento è riconosciuto come facile. L'attacco può essere lanciato da remoto. I dettagli tecnici e un privato metodo di utilizzo sono conosciuti.
L'exploit è scaricabile da drive.google.com. È stato dichiarato come prova di concetto.
L'aggiornamento alla versione 12.1.2410.274, 12.1.2502.178 o 12.1.2506.121 elimina questa vulnerabilità.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Prodotto
Fornitore
Nome
Versione
- 12.1.0
- 12.1.1
- 12.1.2
- 12.1.3
- 12.1.4
- 12.1.5
- 12.1.6
- 12.1.7
- 12.1.8
- 12.1.9
- 12.1.10
- 12.1.11
- 12.1.12
- 12.1.13
- 12.1.14
- 12.1.15
- 12.1.16
- 12.1.17
Supporto
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔒VulDB Affidabilità: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vettore: 🔒
CVSSv3
VulDB Punteggio meta-base: 3.5VulDB Punteggio meta temporaneo: 3.3
VulDB Punteggio di base: 3.5
VulDB Punteggio temporaneo: 3.2
VulDB Vettore: 🔒
VulDB Affidabilità: 🔍
CNA Punteggio di base: 3.5
CNA Vettore: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔒
VulDB Punteggio temporaneo: 🔒
VulDB Affidabilità: 🔍
Sfruttamento
Classe: RedirectCWE: CWE-601
CAPEC: 🔒
ATT&CK: 🔒
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔒
Accesso: Privato
Stato: Prova di concetto
Scaricare: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Previsione dei prezzi: 🔍
Preventivo attuale: 🔒
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔒
Aggiornamento: Portal Meu RH 12.1.2410.274/12.1.2502.178/12.1.2506.121
Sequenza temporale
19/08/2025 Advisory pubblicato19/08/2025 Voce VulDB creata
25/08/2025 Ultimo aggiornamento VulDB
Fonti
Avis: drive.google.comRicercatore: Eduardo Schwarz
Stato: Confermato
CVE: CVE-2025-9193 (🔒)
GCVE (CVE): GCVE-0-2025-9193
GCVE (VulDB): GCVE-100-320579
scip Labs: https://www.scip.ch/en/?labs.20161013
Voce
Data di creazione: 19/08/2025 19:19Aggiornato: 25/08/2025 16:13
Cambiamenti: 19/08/2025 19:19 (59), 20/08/2025 06:48 (30), 20/08/2025 12:37 (1), 22/08/2025 14:12 (1), 25/08/2025 16:13 (1)
Completa: 🔍
Inviato: Trenshyiavv
Committer: Trenshyiavv
Cache ID: 216::103
Invia
Accettato
- Invia #636360: TOTVS Portal Meu RH 12.1.17 Open Redirect combined with phishing in password reset (di Trenshyiavv)
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.