Plataforma
java
Componente
lsfusion.platform:web-client
Corrigido em
6.0.1
6.1.1
6.1.1
Uma vulnerabilidade de Path Traversal foi identificada no lsfusion platform, afetando versões até 6.1. Essa falha permite que um atacante manipule o argumento 'sid' na função UploadFileRequestHandler, possibilitando o acesso a arquivos e diretórios não autorizados. A vulnerabilidade foi divulgada publicamente e a versão 6.1.1 corrige o problema.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos confidenciais no servidor, potencialmente incluindo informações sensíveis como credenciais de usuário, dados de configuração ou código-fonte. Além disso, o atacante pode ser capaz de modificar arquivos existentes ou até mesmo executar código malicioso no servidor, dependendo das permissões concedidas ao usuário que executa o processo. A natureza de Path Traversal significa que o impacto pode se estender além do diretório web, permitindo acesso a recursos críticos do sistema. A divulgação pública da vulnerabilidade aumenta significativamente o risco de exploração.
A vulnerabilidade CVE-2025-13262 foi divulgada publicamente em 17 de novembro de 2025. Um Proof of Concept (PoC) pode estar disponível publicamente, aumentando o risco de exploração. A probabilidade de exploração é considerada alta devido à divulgação pública e à relativa facilidade de exploração de vulnerabilidades de Path Traversal. Não foi adicionada ao KEV (Know Exploited Vulnerabilities) até o momento.
Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"• generic web:
curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
Status do Exploit
EPSS
0.40% (percentil 60%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o lsfusion platform para a versão 6.1.1 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de Web Application Firewall (WAF) para bloquear solicitações que tentam explorar a vulnerabilidade de Path Traversal. Monitore os logs do servidor em busca de tentativas de acesso a arquivos e diretórios inesperados. Restrinja as permissões do usuário que executa o processo UploadFileRequestHandler para minimizar o impacto potencial de uma exploração bem-sucedida.
Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-13262 is a Path Traversal vulnerability affecting lsfusion platform versions up to 6.1, allowing attackers to potentially access sensitive files by manipulating the 'sid' parameter.
You are affected if you are running lsfusion platform version 6.1 or earlier. Upgrade to 6.1.1 or later to mitigate the risk.
Upgrade to lsfusion platform version 6.1.1 or later. As a temporary measure, implement input validation on the 'sid' parameter and consider using a WAF.
While no confirmed active campaigns are publicly known, the vulnerability has been publicly disclosed, increasing the risk of exploitation.
Refer to the official lsfusion platform security advisories on their website or relevant security mailing lists for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.