Plateforme
python
Composant
viewvc
Corrigé dans
1.1.1
1.2.1
La vulnérabilité CVE-2025-54141 affecte ViewVC, une interface web pour les systèmes de contrôle de version CVS et Subversion. Elle se manifeste par un défaut de sécurité de type traversal de répertoire dans le script standalone.py, permettant potentiellement l'accès non autorisé au contenu du système de fichiers du serveur. Cette vulnérabilité touche les versions 1.1.0 jusqu'à 1.1.31 et 1.2.0 jusqu'à 1.2.3. La correction est disponible dans la version 1.2.4.
Un attaquant peut exploiter cette vulnérabilité pour lire des fichiers sensibles situés sur le serveur hébergeant ViewVC, potentiellement compromettant des informations confidentielles telles que des mots de passe, des clés de chiffrement ou des données de configuration. L'exploitation réussie pourrait permettre un accès non autorisé à l'ensemble du système de fichiers, ouvrant la voie à des attaques plus sophistiquées, comme l'exécution de code arbitraire ou le vol de données. Bien que l'exploitation directe puisse être limitée, la capacité d'accéder à des fichiers de configuration sensibles pourrait révéler d'autres vulnérabilités ou permettre une escalade de privilèges.
La vulnérabilité CVE-2025-54141 a été rendue publique le 22 juillet 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été identifié à la date de cette évaluation. La probabilité d'exploitation est considérée comme faible, mais la nature de la vulnérabilité (traversal de répertoire) la rend potentiellement intéressante pour les attaquants.
Organizations running ViewVC version 1.1.0 through 1.2.3, particularly those with publicly accessible ViewVC instances or those who have not regularly patched their ViewVC installations, are at significant risk. Shared hosting environments where multiple users share the same server and ViewVC installation are also particularly vulnerable.
• python / file-system:
find /opt/viewvc -name standalone.py• generic web:
curl -I http://your-viewvc-server/standalone.py?file=/etc/passwd• generic web:
grep -r 'standalone.py' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.24% (percentile 47%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ViewVC vers la version 1.2.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès au script standalone.py via un pare-feu ou un proxy inverse, en limitant les requêtes aux adresses IP autorisées. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité du fichier standalone.py pour confirmer que la correction a été correctement appliquée.
Actualice ViewVC a la versión 1.1.31 o superior si está utilizando la rama 1.1.x, o a la versión 1.2.4 o superior si está utilizando la rama 1.2.x. Esto solucionará la vulnerabilidad de recorrido de directorios en el script standalone.py. Puede descargar la versión más reciente desde el sitio web oficial de ViewVC o desde el repositorio de código fuente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-54141 is a high-severity vulnerability affecting ViewVC versions 1.1.0 through 1.2.3, allowing attackers to expose the host filesystem through the standalone.py script.
You are affected if you are running ViewVC versions 1.1.0 through 1.2.3. Upgrade to version 1.2.4 or later to resolve the vulnerability.
Upgrade ViewVC to version 1.2.4 or later. As a temporary workaround, remove the standalone.py script from the installation directory.
No active exploitation has been reported as of the disclosure date, but the vulnerability remains a risk until patched.
Refer to the official ViewVC security advisories on their website or mailing list for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.