Platform
python
Component
viewvc
Opgelost in
1.1.1
1.2.1
CVE-2025-54141 beschrijft een directory traversal kwetsbaarheid in ViewVC, een browserinterface voor CVS en Subversion repositories. Deze kwetsbaarheid stelt een aanvaller in staat om de inhoud van het bestandssysteem van de hostserver te onthullen. De kwetsbaarheid treedt op in versies 1.1.0 t/m 1.1.31 en 1.2.0 t/m 1.2.3, en is verholpen in versie 1.2.4.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop ViewVC draait. Dit omvat potentieel configuratiebestanden, broncode, of andere data die de beveiliging van het systeem in gevaar kan brengen. De impact is aanzienlijk, omdat een aanvaller de mogelijkheid heeft om de integriteit van de repository te compromitteren en mogelijk toegang te krijgen tot andere systemen binnen het netwerk. Dit soort directory traversal kwetsbaarheden kunnen vergelijkbaar zijn met exploits die in andere webapplicaties zijn gezien, waarbij een aanvaller paden buiten de beoogde directory kan benaderen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve exploits in de wildernis, maar de publicatie van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De KEV status is momenteel onbekend. De NVD publicatiedatum is 2025-07-22.
Organizations running ViewVC version 1.1.0 through 1.2.3, particularly those with publicly accessible ViewVC instances or those who have not regularly patched their ViewVC installations, are at significant risk. Shared hosting environments where multiple users share the same server and ViewVC installation are also particularly vulnerable.
• python / file-system:
find /opt/viewvc -name standalone.py• generic web:
curl -I http://your-viewvc-server/standalone.py?file=/etc/passwd• generic web:
grep -r 'standalone.py' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.24% (47% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van ViewVC naar versie 1.2.4 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan om de standalone.py script uit te schakelen of te verwijderen, aangezien dit de bron van de kwetsbaarheid is. Controleer de toegangsrechten op de server om te zorgen dat gebruikers geen ongeautoriseerde toegang hebben tot gevoelige bestanden. Implementeer een Web Application Firewall (WAF) met regels die directory traversal pogingen detecteren en blokkeren. Monitor de ViewVC logs op verdachte activiteiten, zoals ongebruikelijke bestandspaden in de verzoeken.
Actualice ViewVC a la versión 1.1.31 o superior si está utilizando la rama 1.1.x, o a la versión 1.2.4 o superior si está utilizando la rama 1.2.x. Esto solucionará la vulnerabilidad de recorrido de directorios en el script standalone.py. Puede descargar la versión más reciente desde el sitio web oficial de ViewVC o desde el repositorio de código fuente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54141 is a high-severity vulnerability affecting ViewVC versions 1.1.0 through 1.2.3, allowing attackers to expose the host filesystem through the standalone.py script.
You are affected if you are running ViewVC versions 1.1.0 through 1.2.3. Upgrade to version 1.2.4 or later to resolve the vulnerability.
Upgrade ViewVC to version 1.2.4 or later. As a temporary workaround, remove the standalone.py script from the installation directory.
No active exploitation has been reported as of the disclosure date, but the vulnerability remains a risk until patched.
Refer to the official ViewVC security advisories on their website or mailing list for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.