Platform
php
Component
powercms
Opgelost in
6.7.1
5.3.1
4.6.1
CVE-2025-46359 beschrijft een Path Traversal kwetsbaarheid in de back-up en herstel functionaliteit van PowerCMS. Deze kwetsbaarheid stelt een productbeheerder in staat om willekeurige code uit te voeren door een kwaadaardig back-upbestand te herstellen. De kwetsbaarheid treft PowerCMS versies tot en met 6.7. Een patch is beschikbaar in versie 6.7.1.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op de server waarop PowerCMS draait. Dit kan leiden tot volledige controle over het systeem, inclusief toegang tot gevoelige gegevens, wijziging van configuraties en installatie van malware. De aanvaller kan de gemanipuleerde back-up gebruiken om bestanden buiten de toegestane back-up directory te lezen en te schrijven, waardoor de integriteit en vertrouwelijkheid van het systeem in gevaar komen. Dit scenario is vergelijkbaar met exploits waarbij back-up functionaliteiten worden misbruikt om toegang te krijgen tot kritieke systeembestanden.
De kwetsbaarheid is openbaar bekend gemaakt op 2025-07-31. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, gezien de relatief eenvoudige exploitatie. De CVSS score van 7.2 (HIGH) duidt op een significant risico. Er zijn geen bekende KEV vermeldingen op het moment van schrijven.
Organizations utilizing PowerCMS for content management, particularly those with product administrator accounts that have unrestricted access to the backup and restore functionality, are at risk. Shared hosting environments where multiple users share the same PowerCMS installation are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• php / server:
find /var/www/html/powercms/backups -name '*backup*' -print0 | xargs -0 grep -i '..\/..\/'• generic web:
curl -I http://your-powercms-site.com/backup.php?file=../../../../etc/passwddisclosure
Exploit Status
EPSS
0.25% (48% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van PowerCMS naar versie 6.7.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van de productbeheerder om de impact van een succesvolle exploitatie te minimaliseren. Controleer de back-up directory en de toegestane bestanden om te voorkomen dat kwaadaardige bestanden worden geïmporteerd. Na de upgrade, verifieer de integriteit van het systeem door een schone back-up te maken en te herstellen om te bevestigen dat de kwetsbaarheid is verholpen.
Actualice PowerCMS a la última versión disponible proporcionada por el proveedor, Alfasado Inc. Consulte las notas de la versión 6.71, 5.31 o 4.61 para obtener detalles específicos sobre la corrección de este problema de path traversal. Asegúrese de realizar una copia de seguridad de su sistema antes de aplicar la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-46359 is a path traversal vulnerability in PowerCMS versions up to 6.7, allowing attackers to potentially execute arbitrary code by restoring a crafted backup file.
You are affected if you are running PowerCMS versions 6.7 or earlier. Upgrade to 6.7.1 to mitigate the risk.
Upgrade PowerCMS to version 6.7.1 or later. As a temporary workaround, restrict access to the backup and restore feature to trusted administrators.
As of 2025-07-31, there are no publicly known active exploitation campaigns targeting CVE-2025-46359.
Refer to the official PowerCMS security advisory for detailed information and updates regarding CVE-2025-46359.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.