Plataforma
other
Componente
pik-online
Corrigido em
3.1.5
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no Pik Online, um software de Yazılım Çözümleri A.Ş. Esta falha permite que um atacante realize requisições não autorizadas através do servidor, potencialmente acessando recursos internos ou externos. A vulnerabilidade afeta as versões do Pik Online anteriores à 3.1.5. A correção foi disponibilizada na versão 3.1.5.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante acesse recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir informações confidenciais, como arquivos de configuração, dados de banco de dados ou até mesmo outros sistemas na rede interna. Um atacante também pode usar o servidor para realizar ataques a outros sistemas, mascarando suas ações por trás do servidor vulnerável. O impacto potencial varia dependendo da sensibilidade dos recursos acessíveis através do SSRF e da capacidade do atacante de explorar os dados obtidos.
A vulnerabilidade foi publicada em 2025-08-20. Não há informações disponíveis sobre a existência de um KEV listing ou EPSS score. Atualmente, não há conhecimento público de um Proof of Concept (PoC) para esta vulnerabilidade, mas a natureza do SSRF a torna potencialmente explorável. É recomendável monitorar a situação e implementar as medidas de mitigação o mais rápido possível.
Organizations utilizing Pik Online, particularly those with sensitive internal resources accessible via HTTP/HTTPS, are at risk. Environments with older, unpatched Pik Online instances are especially vulnerable. Shared hosting environments where Pik Online is deployed alongside other applications should also be considered at higher risk.
disclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Pik Online para a versão 3.1.5 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede interna e monitorar o tráfego de saída do servidor em busca de atividades suspeitas. Implementar regras de firewall para bloquear requisições para endereços IP e domínios não confiáveis também pode ajudar a reduzir o risco. Verifique após a atualização se a vulnerabilidade foi corrigida, tentando acessar um recurso interno através da aplicação e confirmando que a requisição é bloqueada.
Atualize Pik Online para a versão 3.1.5 ou superior. Esta atualização corrige a vulnerabilidade SSRF. Consulte o registro de alterações da aplicação para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Server-Side Request Forgery (SSRF) que permite a um atacante realizar requisições não autorizadas através do servidor Pik Online, afetando versões anteriores à 3.1.5.
Sim, se você estiver utilizando uma versão do Pik Online anterior à 3.1.5, você está vulnerável a esta falha de SSRF.
Atualize o Pik Online para a versão 3.1.5 ou superior para corrigir a vulnerabilidade SSRF. Implemente medidas de segurança adicionais se a atualização imediata não for possível.
Embora não haja confirmação de exploração ativa, a natureza do SSRF torna a vulnerabilidade potencialmente explorável. Monitore a situação e aplique as correções.
Consulte o site oficial do Pik Online ou entre em contato com o suporte técnico para obter o advisory oficial relacionado ao CVE-2025-5260.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.