Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Windu CMS i koordynował proces ujawniania informacji.
Podatność CVE-2025-59110: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności edycji użytkownika. Zaimplementowany mechanizm ochrony przed CSRF może zostać ominięty poprzez użycie tokenu CSRF innego użytkownika. Rejestracja jest otwarta i każdy może założyć konto.
Podatność CVE-2025-59111: Windu CMS niepoprawnie implementuje weryfikację uprawnień użytkowników w funkcjonalności edycji użytkownika. Atakujący posiadający uprawnienia administratora może wysłać żądanie GET, które umożliwia użytkownikom uprzywilejowanym usunięcie kont Super Administratorów, co nie jest możliwe przy użyciu interfejsu graficznego.
Podatność CVE-2025-59112: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności edycji użytkownika. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez administratora automatycznie wyśle żądanie typu POST usuwające wskazanego użytkownika.
Podatność CVE-2025-59113: Windu CMS implementuje słabe zabezpieczenie przed atakami typu brute-force po stronie klienta, wykorzystując parametr loginError. Informacje o liczbie prób lub czasie blokady nie są przechowywane na serwerze, co umożliwia atakującemu obejście tego mechanizmu poprzez resetowanie wspomnianego parametru.
Podatność CVE-2025-59114: Windu CMS jest podatny na atak typu Cross-Site Request Forgery w funkcjonalności przesyłania plików. Atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez ofiarę automatycznie wyśle złośliwy plik na serwer.
Podatność CVE-2025-59115: Windu CMS jest podatny na atak typu Stored Cross-Site Scripting na stronie logowania, gdzie dane wejściowe nie są odpowiednio sanityzowane. Atakujący może wstrzyknąć dowolny kod HTML i JavaScript do witryny, który zostanie wyrenderowany/wykonany podczas odwiedzania przez administratora strony z logami.
Podatność CVE-2025-59116: Windu CMS jest umożliwia atakującemu enumerację użytkowników. Problem występuje podczas procesu logowania, gdzie różnice w komunikatach mogą pozwolić atakującemu ustalić, czy podany login jest prawidłowy, co umożliwia przeprowadzenie ataku typu brute force z wykorzystaniem poprawnych loginów.
Podatność CVE-2025-59117: Windu CMS jest podatny na wiele podatności typu Stored Cross-Site Scripting w endpoincie edycji stron /windu/admin/content/pages/edit. Podatność może zostać wykorzystana przez użytkownika uprzywilejowanego i stanowi zagrożenie dla użytkowników o wyższych uprawnieniach.
Producent został wcześnie poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji 4.1 — inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Czubernatowi.
