TOTVS Portal Meu RH até 12.1.17 Password Reset redirectUrl Redirect

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
3.3$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade classificada como problemático foi encontrada em TOTVS Portal Meu RH até 12.1.17. Afectado é uma função desconhecida do componente Password Reset Handler. A manipulação do argumento redirectUrl com uma entrada desconhecida leva a Redirect. A vulnerabilidade é identificada como CVE-2025-9193. É possível lançar o ataque remotamente. Além disso, há uma exploração disponível. Recomenda-se a actualização do componente afectado.

Detalhesinformação

Uma vulnerabilidade classificada como problemático foi encontrada em TOTVS Portal Meu RH até 12.1.17. Afectado é uma função desconhecida do componente Password Reset Handler. A manipulação do argumento redirectUrl com uma entrada desconhecida leva a Redirect. Usar CWE para declarar o problema leva a CWE-601. A fraqueza foi publicada por Eduardo Schwarz. O aconselhamento é partilhado para download em drive.google.com.

A vulnerabilidade é identificada como CVE-2025-9193. É possível lançar o ataque remotamente. Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK declara a técnica de ataque como T1204.001.

É declarado como prova de conceito. A exploração está disponível em drive.google.com. .

A actualização para a versão 12.1.2410.274, 12.1.2502.178 e 12.1.2506.121 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado.

Produtoinformação

Fabricante

Nome

Versão

Apoio

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vetor: 🔒

CVSSv3informação

VulDB Meta Pontuação Base: 3.5
VulDB Meta Pontuação Temporária: 3.3

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.2
VulDB Vetor: 🔒
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 3.5
CNA Vetor: 🔒

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔒
VulDB Pontuação Temporária: 🔒
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Redirect
CWE: CWE-601
CAPEC: 🔒
ATT&CK: 🔒

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔒
Acesso: Privado
Estado: Prova de conceito
Descarregar: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Tendência de preços: 🔍
Estimativa de preço atual: 🔒

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Atualização
Estado: 🔍

Tempo 0-dia: 🔒

Atualização: Portal Meu RH 12.1.2410.274/12.1.2502.178/12.1.2506.121

Linha do tempoinformação

19/08/2025 Aviso publicado
19/08/2025 +0 dias Entrada VulDB criada
25/08/2025 +6 dias Última atualização da VulDB

Fontesinformação

Aconselhamento: drive.google.com
Pessoa: Eduardo Schwarz
Estado: Confirmado

CVE: CVE-2025-9193 (🔒)
GCVE (CVE): GCVE-0-2025-9193
GCVE (VulDB): GCVE-100-320579
scip Labs: https://www.scip.ch/en/?labs.20161013

Entradainformação

Criado: 19/08/2025 19h19
Atualizado: 25/08/2025 16h13
Ajustamentos: 19/08/2025 19h19 (59), 20/08/2025 06h48 (30), 20/08/2025 12h37 (1), 22/08/2025 14h12 (1), 25/08/2025 16h13 (1)
Completo: 🔍
Submissor: Trenshyiavv
Editor: Trenshyiavv
Cache ID: 216::103

Submeterinformação

Aceite

  • Submeter #636360: TOTVS Portal Meu RH 12.1.17 Open Redirect combined with phishing in password reset (de Trenshyiavv)

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Discussão

 Trenshyiavv (+0)
há 10 meses
update to insert my name ba CVE

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!