Plataforma
other
Componente
logicaldoc-enterprise
Corrigido em
7.7.5
7.7.4
7.7.3
7.7.2
7.6.5
7.6.3
7.5.2
7.4.3
7.1.2
A vulnerabilidade CVE-2019-25258 é uma falha de Directory Traversal identificada no LogicalDOC Enterprise. Essa falha permite que um atacante autenticado leia arquivos arbitrários no sistema, potencialmente expondo informações confidenciais. As versões afetadas são 7.1.1 até 7.7.4. A correção para esta vulnerabilidade está disponível na versão 7.7.5.
Um atacante que explorar com sucesso esta vulnerabilidade pode obter acesso não autorizado a arquivos sensíveis no servidor LogicalDOC Enterprise. Isso inclui arquivos de configuração, arquivos de log e, em alguns casos, arquivos do sistema operacional como win.ini e /etc/passwd. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento da integridade do sistema e, potencialmente, acesso a outros sistemas na rede. A manipulação dos parâmetros 'suffix' e 'fileVersion' nas rotas /thumbnail e /convertpdf permite a exploração da falha de Directory Traversal.
A vulnerabilidade foi divulgada publicamente em 24 de dezembro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de uma prova de conceito (PoC) pública é desconhecida. É importante monitorar a situação e aplicar a correção o mais rápido possível.
Organizations utilizing LogicalDOC Enterprise for document management, particularly those with older versions (7.1.1 – 7.7.4), are at risk. Shared hosting environments where multiple users have access to the LogicalDOC Enterprise instance are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability.
• windows / other: Monitor event logs for unusual file access attempts, particularly targeting files outside of the LogicalDOC Enterprise application directory. Use Sysinternals Process Monitor to observe file system activity related to the LogicalDOC Enterprise process.
• linux / server: Examine auditd logs for attempts to access files outside the expected directories. Use lsof to identify processes accessing sensitive system files.
• generic web: Inspect access logs for requests to /thumbnail and /convertpdf endpoints with unusual or excessively long parameters. Look for patterns indicative of path traversal attempts.
disclosure
Status do Exploit
EPSS
1.88% (percentil 83%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o LogicalDOC Enterprise para a versão 7.7.5 ou superior, que contém a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restringir o acesso às rotas /thumbnail e /convertpdf através de um firewall de aplicação web (WAF) pode ajudar a mitigar o risco. Além disso, revise as permissões de arquivo e diretório para garantir que os usuários autenticados tenham apenas acesso aos arquivos e diretórios necessários. Após a atualização, verifique se a vulnerabilidade foi corrigida tentando acessar arquivos fora do diretório esperado através das rotas /thumbnail e /convertpdf.
Actualizar LogicalDOC Enterprise a una versión posterior a 7.7.4 que corrija las vulnerabilidades de recorrido de directorios. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25258 is a vulnerability allowing authenticated attackers to read arbitrary files on a LogicalDOC Enterprise server by manipulating parameters in specific endpoints.
You are affected if you are running LogicalDOC Enterprise versions 7.1.1 through 7.7.4. Upgrade to 7.7.5 or later to resolve the issue.
Upgrade LogicalDOC Enterprise to version 7.7.5 or later. As a temporary workaround, restrict access to the vulnerable endpoints and monitor access logs.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit given post-authentication access.
Refer to the LogicalDOC security advisories page for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.