Plataforma
php
Componente
powercms
Corrigido em
6.7.1
5.3.1
4.6.1
Uma vulnerabilidade de Path Traversal foi descoberta na funcionalidade de backup e restauração do PowerCMS, afetando versões até 6.7. Um administrador de produto pode executar código arbitrário ao restaurar um arquivo de backup malicioso. A vulnerabilidade foi publicada em 31 de julho de 2025 e a versão corrigida é 6.7.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute código arbitrário no servidor onde o PowerCMS está instalado. Isso pode levar ao comprometimento completo do sistema, incluindo roubo de dados confidenciais, modificação de arquivos e instalação de malware. O atacante precisa de privilégios de administrador para restaurar o backup malicioso, mas uma vez que isso é alcançado, o impacto é severo. A capacidade de executar código arbitrário torna esta vulnerabilidade particularmente perigosa, similar a outras vulnerabilidades de execução remota de código (RCE) que exploram a manipulação de arquivos.
A vulnerabilidade foi divulgada publicamente em 31 de julho de 2025. A probabilidade de exploração é considerada média, dada a necessidade de privilégios de administrador e a complexidade potencial da criação de um backup malicioso. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação.
Organizations utilizing PowerCMS for content management, particularly those with product administrator accounts that have unrestricted access to the backup and restore functionality, are at risk. Shared hosting environments where multiple users share the same PowerCMS installation are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• php / server:
find /var/www/html/powercms/backups -name '*backup*' -print0 | xargs -0 grep -i '..\/..\/'• generic web:
curl -I http://your-powercms-site.com/backup.php?file=../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.25% (percentil 48%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o PowerCMS para a versão 6.7.1, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso à funcionalidade de backup e restauração apenas a usuários confiáveis. Implemente validação rigorosa dos arquivos de backup antes da restauração para evitar a execução de código malicioso. Monitore os logs do sistema em busca de atividades suspeitas relacionadas à restauração de backups. Após a atualização, confirme a correção verificando se a funcionalidade de backup e restauração não permite mais o acesso a arquivos fora do diretório esperado.
Actualice PowerCMS a la última versión disponible proporcionada por el proveedor, Alfasado Inc. Consulte las notas de la versión 6.71, 5.31 o 4.61 para obtener detalles específicos sobre la corrección de este problema de path traversal. Asegúrese de realizar una copia de seguridad de su sistema antes de aplicar la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-46359 is a path traversal vulnerability in PowerCMS versions up to 6.7, allowing attackers to potentially execute arbitrary code by restoring a crafted backup file.
You are affected if you are running PowerCMS versions 6.7 or earlier. Upgrade to 6.7.1 to mitigate the risk.
Upgrade PowerCMS to version 6.7.1 or later. As a temporary workaround, restrict access to the backup and restore feature to trusted administrators.
As of 2025-07-31, there are no publicly known active exploitation campaigns targeting CVE-2025-46359.
Refer to the official PowerCMS security advisory for detailed information and updates regarding CVE-2025-46359.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.