Plataforma
java
Componente
lsfusion.platform:web-client
Corregido en
6.0.1
6.1.1
6.1.1
Se ha identificado una vulnerabilidad de Path Traversal en lsfusion platform hasta la versión 6.1. Esta falla permite a un atacante acceder a archivos sensibles en el sistema, comprometiendo la confidencialidad de los datos. La vulnerabilidad afecta a las versiones anteriores a 6.1 y se ha solucionado en la versión 6.1.1. Se recomienda actualizar inmediatamente para evitar la explotación.
La vulnerabilidad de Path Traversal en lsfusion platform permite a un atacante, mediante la manipulación del parámetro 'sid' en la solicitud de carga de archivos, acceder a archivos ubicados fuera del directorio previsto. Esto podría incluir archivos de configuración, código fuente o datos sensibles almacenados en el servidor. Un atacante podría utilizar esta vulnerabilidad para leer información confidencial, modificar archivos críticos o incluso ejecutar código malicioso en el sistema, dependiendo de los permisos del usuario bajo el cual se ejecuta la aplicación. La divulgación pública de la vulnerabilidad aumenta significativamente el riesgo de explotación.
Esta vulnerabilidad ha sido públicamente divulgada, lo que aumenta la probabilidad de explotación. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad facilita su aprovechamiento. La vulnerabilidad fue publicada el 2025-11-17. Se recomienda monitorear los sistemas afectados en busca de signos de intrusión.
Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"• generic web:
curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
Estado del Exploit
EPSS
0.40% (60% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-13262 es actualizar lsfusion platform a la versión 6.1.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el servidor para limitar el acceso a archivos sensibles. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes con patrones sospechosos en el parámetro 'sid'. Verifique que la aplicación no permita la ejecución de scripts desde ubicaciones no confiables. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta intentando acceder a un archivo fuera del directorio esperado y verificando que la solicitud sea rechazada.
Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-13262 is a Path Traversal vulnerability affecting lsfusion platform versions up to 6.1, allowing attackers to potentially access sensitive files by manipulating the 'sid' parameter.
You are affected if you are running lsfusion platform version 6.1 or earlier. Upgrade to 6.1.1 or later to mitigate the risk.
Upgrade to lsfusion platform version 6.1.1 or later. As a temporary measure, implement input validation on the 'sid' parameter and consider using a WAF.
While no confirmed active campaigns are publicly known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official lsfusion platform security advisories on their website or relevant security mailing lists for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.