Plataforma
php
Componente
innoshop
Corrigido em
0.4.2
A vulnerabilidade CVE-2025-52922 é um problema de Directory Traversal identificado no InnoShop, afetando versões até 0.4.1. Um atacante autenticado, com acesso ao painel de administração, pode explorar essa falha para obter acesso não autorizado a arquivos e diretórios no servidor. A correção para esta vulnerabilidade está disponível na versão 0.4.2 do InnoShop.
Um atacante que explore com sucesso a vulnerabilidade de Directory Traversal no InnoShop pode obter acesso irrestrito ao sistema de arquivos do servidor. Isso permite a leitura de informações confidenciais, como arquivos de configuração, senhas e dados de usuários. Além disso, o atacante pode criar diretórios arbitrários, copiar arquivos para locais acessíveis e até mesmo excluir arquivos, comprometendo a integridade do sistema. A capacidade de mapear a estrutura do sistema de arquivos facilita a identificação de alvos valiosos e a execução de ataques mais sofisticados.
A vulnerabilidade CVE-2025-52922 foi divulgada em 23 de junho de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV da CISA no momento da publicação. A existência de endpoints de gerenciamento de arquivos com funcionalidades de leitura, escrita e exclusão, combinada com a falta de validação adequada, torna esta vulnerabilidade um alvo potencial para exploração.
Organizations using InnoShop for e-commerce or online store management are at risk, particularly those running versions 0 through 0.4.1. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised admin account on one store could potentially be used to exploit this vulnerability on other stores.
• php: Examine web server access logs for requests to /api/filemanager endpoints containing ../ sequences in the basefolder or other parameters.
grep 'api/file_manager.*\/\/\/' /var/log/apache2/access.log• php: Check for unusual file creations or deletions within the InnoShop application directory.
find /var/www/innoshop -type f -ctime -1• generic web: Monitor for unexpected file reads or modifications within the InnoShop application directory. • generic web: Review the application's configuration files for any insecure file paths or permissions.
disclosure
Status do Exploit
EPSS
0.30% (percentil 53%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-52922 é atualizar o InnoShop para a versão 0.4.2, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso ao painel de administração apenas a usuários autorizados e monitorar os logs do servidor em busca de atividades suspeitas. Considere a implementação de regras em um Web Application Firewall (WAF) para bloquear solicitações que tentem acessar arquivos ou diretórios fora do escopo esperado. Verifique, após a atualização, se o acesso aos endpoints /api/file_manager/* está devidamente restrito e validado.
Actualice InnoShop a una versión posterior a 0.4.1 que corrija la vulnerabilidad de path traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el componente FileManager hasta que se publique una solución. Revise y valide las configuraciones de seguridad del servidor web para mitigar el riesgo de acceso no autorizado al sistema de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-52922 is a HIGH severity vulnerability allowing authenticated admins in InnoShop versions 0-0.4.1 to traverse directories and access sensitive files.
You are affected if you are using InnoShop versions 0 through 0.4.1 and have not upgraded to version 0.4.2 or later.
Upgrade InnoShop to version 0.4.2 or later. As a temporary workaround, restrict access to the /api/file_manager endpoints and implement input validation.
Currently, there are no known public exploits or active campaigns targeting CVE-2025-52922, but the ease of exploitation warrants immediate attention.
Refer to the InnoShop project's official website or repository for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.