Platform
other
Component
ipublish-system
Opgelost in
0.0.1
CVE-2025-7146 beschrijft een Path Traversal kwetsbaarheid in het iPublish System, ontwikkeld door Jhenggao. Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers in staat om willekeurige systeembestanden te lezen, wat kan leiden tot gevoelsgegevenslekken en mogelijk verdere compromittering van het systeem. De kwetsbaarheid treft versies 0–0 van iPublish System. Een fix is beschikbaar in versie 0.0.1.
De impact van deze Path Traversal kwetsbaarheid is significant. Een succesvolle aanval stelt een ongeauthenticeerde aanvaller in staat om vrijwel elk bestand op het systeem te lezen, afhankelijk van de permissies van de gebruiker onder wiens context de iPublish System applicatie draait. Dit omvat potentieel configuratiebestanden, database credentials, broncode en andere gevoelige informatie. Het misbruiken van deze kwetsbaarheid kan leiden tot volledige controle over het systeem, data-exfiltratie en reputatieschade. Hoewel er geen direct gerelateerde voorbeelden van misbruik in de wildernis bekend zijn, is de mogelijkheid tot misbruik hoog gezien de eenvoud van Path Traversal aanvallen.
CVE-2025-7146 is openbaar bekend gemaakt op 2025-07-08. Er is geen indicatie van actieve exploitatie in de wildernis op dit moment. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database). De EPSS score is nog niet bekend, maar gezien de eenvoud van de exploitatie en de potentieel hoge impact, is een medium tot hoge waarschijnlijkheid van misbruik te verwachten.
Organizations deploying the iPublish System, particularly those with internet-facing deployments or those lacking robust network segmentation, are at risk. Systems with default configurations or those that haven't been regularly patched are especially vulnerable.
disclosure
Exploit Status
EPSS
0.11% (30% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-7146 is het upgraden naar versie 0.0.1 van iPublish System, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de permissies van de gebruiker onder wiens context de iPublish System applicatie draait. Implementeer een Web Application Firewall (WAF) met regels die Path Traversal pogingen detecteren en blokkeren. Controleer de iPublish System configuratie op onnodige openbare mappen of bestanden. Na de upgrade, verifieer de fix door te proberen toegang te krijgen tot een bestand buiten de toegestane directory via een HTTP request.
Actualizar a una versión parcheada del sistema iPublish. Contacte al proveedor (Jhenggao) para obtener la última versión segura. Si no hay una versión disponible, considere deshabilitar o reemplazar el sistema iPublish.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-7146 is a vulnerability allowing unauthenticated attackers to read arbitrary files on an iPublish System server. It has a CVSS score of 7.5 (HIGH).
If you are using iPublish System versions 0–0, you are affected. Upgrade to version 0.0.1 to mitigate the risk.
The fix is to upgrade to version 0.0.1 of the iPublish System. If immediate upgrade isn't possible, implement strict access controls and network segmentation.
Currently, there are no confirmed reports of active exploitation, but it's crucial to apply the patch promptly.
Refer to the Jhenggao website or relevant security mailing lists for the official advisory regarding CVE-2025-7146.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.