Platform
java
Component
lsfusion.platform:web-client
Opgelost in
6.0.1
6.1.1
6.1.1
CVE-2025-13262 beschrijft een Path Traversal kwetsbaarheid in lsfusion platform, specifiek in de UploadFileRequestHandler functie. Deze kwetsbaarheid stelt een aanvaller in staat om via manipulatie van de 'sid' parameter ongeautoriseerde toegang te krijgen tot bestanden op het systeem. De kwetsbaarheid treft versies van lsfusion platform tot en met 6.1. Een patch is beschikbaar in versie 6.1.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan potentieel gevoelige bestanden lezen, wijzigen of zelfs verwijderen, afhankelijk van de permissies van de applicatie. Dit kan leiden tot datalekken, compromittering van de server en mogelijk zelfs volledige controle over het systeem. De mogelijkheid om willekeurige bestanden te benaderen, vergroot de aanvalsoppervlakte aanzienlijk en maakt verdere exploitatie mogelijk. De openbare beschikbaarheid van de exploit verhoogt het risico op misbruik.
Deze kwetsbaarheid is openbaar bekend en er is een proof-of-concept beschikbaar, wat het risico op misbruik aanzienlijk verhoogt. Er is geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de openbare beschikbaarheid van de exploit maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is gepubliceerd op 2025-11-17.
Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"• generic web:
curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
Exploit Status
EPSS
0.40% (60% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-13262 is het upgraden van lsfusion platform naar versie 6.1.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegankelijkheid tot de UploadFileRequestHandler via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verdachte patronen in de 'sid' parameter te detecteren en te blokkeren. Controleer de configuratie van de applicatie om te zorgen voor minimale permissies voor de gebruiker die de applicatie uitvoert. Na de upgrade, bevestig de oplossing door een poging te wagen om de kwetsbaarheid te exploiteren met een bekende payload.
Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-13262 is a Path Traversal vulnerability affecting lsfusion platform versions up to 6.1, allowing attackers to potentially access sensitive files by manipulating the 'sid' parameter.
You are affected if you are running lsfusion platform version 6.1 or earlier. Upgrade to 6.1.1 or later to mitigate the risk.
Upgrade to lsfusion platform version 6.1.1 or later. As a temporary measure, implement input validation on the 'sid' parameter and consider using a WAF.
While no confirmed active campaigns are publicly known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official lsfusion platform security advisories on their website or relevant security mailing lists for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.