CVE-2025-66625 in Umbraco
요약
\~에 의해 VulDB • 2026. 05. 19.
Umbraco는 ASP.NET 기반의 CMS입니다. 버전 10.0.0부터 13.12.0까지의 버전에서 임시 파일의 안전하지 않은 처리 및 삭제로 인해, 사전 업로드 과정에서 백오피스에 접근 권한이 있는 공격자가 임시 파일 경로에 대해 예측 가능한 요청을 트리거할 수 있습니다. 애플리케이션의 오류 응답(파일이 존재할 경우 HTTP 500, 존재하지 않을 경우 404)을 통해 공격자는 서버 파일 시스템 상의 임의 파일의 존재 여부를 열거할 수 있습니다. 이 취약점은 파일 내용 읽기 또는 쓰기를 허용하지 않습니다. 특정 구성 환경에서는 임시 업로드 파일의 불완전한 정리로 인해 Umbraco 애플리케이션을 실행하는 Windows 계정의 NTLM 해시가 추가로 노출될 수 있습니다. 이 문제는 버전 13.12.1에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.