Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu DobryCMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-12462: W DobryCMS zidentyfikowano podatność typu Blind SQL Injection. Zdalny, nieuwierzytelniony atakujący może wstrzykiwać dowolne kwerendy w języku SQL w ścieżce URL.
Ten problem zostały naprawiony w wersjach powyżej 8.0.
Podatność CVE-2025-14532: Funkcjonalność przesyłania plików w DobryCMS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem bez jakichkolwiek ograniczeń, co może prowadzić do zdalnego wykonania kodu.
Ten problem zostały naprawiony w wersjach powyżej 5.0.
Podziękowania
Za zgłoszenie podatności Blind SQL Injection dziękujemy Jarosławowi Wieczorkowi, Pawłowi Berusowi, Kacprowi Gendoszowi oraz Karolinie Buchnat. Natomiast za zgłoszenie dotyczące podatności Unrestricted File Upload dziękujemy Dawidowi Radzińskiemu z RED SECURITY.
