Plateforme
other
Composant
ipublish-system
Corrigé dans
0.0.1
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans le système iPublish développé par Jhenggao. Cette faille permet à des attaquants distants non authentifiés de lire des fichiers système arbitraires, compromettant potentiellement la confidentialité des données sensibles. Les versions 0–0 du système sont affectées. Une mise à jour vers la version 0.0.1 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers sensibles sur le serveur. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des fichiers journaux contenant des données utilisateur, ou même des fichiers exécutables. Un attaquant pourrait potentiellement obtenir un accès non autorisé à l'ensemble du système de fichiers, ce qui pourrait conduire à une compromission complète du serveur. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la vulnérabilité de traversal de chemin est bien connue et peut être exploitée relativement facilement.
Cette vulnérabilité a été publiée le 8 juillet 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. La probabilité d'exploitation est considérée comme modérée en raison de la simplicité de l'exploitation et de l'absence de mesures de sécurité robustes par défaut.
Organizations deploying the iPublish System, particularly those with internet-facing deployments or those lacking robust network segmentation, are at risk. Systems with default configurations or those that haven't been regularly patched are especially vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 30%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à appliquer la mise à jour vers la version 0.0.1 du système iPublish. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès aux fichiers sensibles via des contrôles d'accès stricts au niveau du système d'exploitation. Il est également recommandé de surveiller les journaux du système pour détecter toute tentative d'accès non autorisé aux fichiers. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes ciblant cette vulnérabilité, en configurant des règles pour filtrer les requêtes contenant des séquences de traversal de chemin (par exemple, '..').
Actualizar a una versión parcheada del sistema iPublish. Contacte al proveedor (Jhenggao) para obtener la última versión segura. Si no hay una versión disponible, considere deshabilitar o reemplazar el sistema iPublish.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-7146 is a vulnerability allowing unauthenticated attackers to read arbitrary files on an iPublish System server. It has a CVSS score of 7.5 (HIGH).
If you are using iPublish System versions 0–0, you are affected. Upgrade to version 0.0.1 to mitigate the risk.
The fix is to upgrade to version 0.0.1 of the iPublish System. If immediate upgrade isn't possible, implement strict access controls and network segmentation.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the Jhenggao website or relevant security mailing lists for the official advisory regarding CVE-2025-7146.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.