Plateforme
other
Composant
pik-online
Corrigé dans
3.1.5
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans Pik Online, un logiciel développé par Pik Online Yazılım Çözümleri A.Ş. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes, potentiellement sensibles. Elle affecte les versions de Pik Online antérieures à la version 3.1.5. Une mise à jour vers la version 3.1.5 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées sur le serveur, des métadonnées de services cloud, ou même d'autres systèmes internes. Un attaquant pourrait potentiellement utiliser cette vulnérabilité pour effectuer des scans de réseau internes, identifier d'autres vulnérabilités, ou même compromettre d'autres systèmes. Le risque est amplifié si Pik Online est exposé directement à Internet, car cela permettrait à un attaquant externe d'exploiter la faille sans nécessiter d'accès initial au réseau interne.
La vulnérabilité CVE-2025-5260 a été publiée le 20 août 2025. Aucune information concernant une exploitation active ou un Proof of Concept (PoC) public n'est actuellement disponible. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la nature de la vulnérabilité SSRF et de sa potentielle facilité d'exploitation une fois qu'un PoC est disponible.
Organizations utilizing Pik Online, particularly those with sensitive internal resources accessible via HTTP/HTTPS, are at risk. Environments with older, unpatched Pik Online instances are especially vulnerable. Shared hosting environments where Pik Online is deployed alongside other applications should also be considered at higher risk.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Pik Online vers la version 3.1.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises pour atténuer le risque. Il est recommandé de restreindre l'accès au logiciel Pik Online aux seuls utilisateurs autorisés et de mettre en place des règles de pare-feu pour bloquer les requêtes sortantes vers des destinations non approuvées. L'implémentation d'une solution WAF (Web Application Firewall) peut également aider à filtrer les requêtes malveillantes. Vérifiez après la mise à jour que la version corrigée est bien installée et que les fonctionnalités critiques sont opérationnelles.
Mettez à jour Pik Online à la version 3.1.5 ou supérieure. Cette mise à jour corrige la vulnérabilité SSRF. Consultez le journal des modifications de l'application pour plus de détails sur la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-5260 est une vulnérabilité SSRF (Server-Side Request Forgery) dans Pik Online, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes.
Vous êtes affecté si vous utilisez Pik Online dans une version antérieure à 3.1.5. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à jour Pik Online vers la version 3.1.5 ou supérieure. En attendant, restreignez l'accès et configurez un pare-feu.
À l'heure actuelle, aucune exploitation active n'est confirmée, mais la probabilité d'exploitation est considérée comme moyenne.
Consultez le site web officiel de Pik Online ou leurs canaux de communication pour obtenir l'avis officiel concernant CVE-2025-5260.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.