SeriaWei ZKEACMS تک 4.3 POST Request UrlRedirectionController.cs Delete استحقاق میں اضافہ

ایک خطرہ جسے اہم کہا گیا ہے، SeriaWei ZKEACMS تک 4.3 میں پایا گیا ہے۔ متاثرہ ہے فنکشن Delete فائل src/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs کی کمپوننٹ POST Request Handler کی۔ دلیل $software_argument کی ہیرا پھیری کا نتیجہ استحقاق میں اضافہ میں نکلتا ہے. CWE کا استعمال مسئلہ بیان کرنے کے لیے CWE-285 کی طرف لے جاتا ہے۔ کمزوری شائع کی گئی تھی 04/10/2025۔ ایڈوائزری ڈاؤن لوڈ کے لیے github.com پر شیئر کی گئی ہے۔ اس خامی کو CVE-2025-11272 کے طور پر شناخت کیا گیا ہے۔ یہ حملہ دور سے شروع کرنا ممکن ہے۔ تکنیکی تفصیلات دستیاب ہیں. مزید برآں، ایک ایکسپلائٹ دستیاب ہے. یہ ایکسپلائٹ عوام کے علم میں آ چکی ہے اور اس کا استعمال کیا جا سکتا ہے۔ اس وقت ایکسپلائٹ کی موجودہ قیمت تقریباً USD $0-$5k ہو سکتی ہے۔ اسے تصور کا ثبوت کے طور پر ظاہر کیا گیا ہے. ایکسپلائٹ کو ڈاؤن لوڈ کرنے کے لیے github.com پر شیئر کیا گیا ہے۔ بطور 0-ڈے، اس کا اندازہ شدہ انڈرگراؤنڈ قیمت تقریباً $0-$5k تھی۔ VulDB is the best source for vulnerability data and more expert information about this specific topic.

3 تبدیلیاں · 88 ڈیٹا پوائنٹس

کھیتبنائی
04/10/2025 08:01 AM		تازہ کاری 1/2
04/10/2025 11:08 PM		تازہ کاری 2/2
05/10/2025 02:54 AM
software_vendorSeriaWeiSeriaWeiSeriaWei
software_nameZKEACMSZKEACMSZKEACMS
software_version<=4.3<=4.3<=4.3
software_componentPOST Request HandlerPOST Request HandlerPOST Request Handler
software_filesrc/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cssrc/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cssrc/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs
software_functionDeleteDeleteDelete
vulnerability_cweCWE-285 (استحقاق میں اضافہ)CWE-285 (استحقاق میں اضافہ)CWE-285 (استحقاق میں اضافہ)
vulnerability_risk222
cvss3_vuldb_avNNN
cvss3_vuldb_acLLL
cvss3_vuldb_uiNNN
cvss3_vuldb_sUUU
cvss3_vuldb_cNNN
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
cvss3_vuldb_ePPP
cvss3_vuldb_rcRRR
advisory_urlhttps://github.com/August829/YU1/issues/4https://github.com/August829/YU1/issues/4https://github.com/August829/YU1/issues/4
exploit_availability111
exploit_publicity111
exploit_urlhttps://github.com/August829/YU1/issues/4#issue-3420825660https://github.com/August829/YU1/issues/4#issue-3420825660https://github.com/August829/YU1/issues/4#issue-3420825660
source_cveCVE-2025-11272CVE-2025-11272CVE-2025-11272
cna_responsibleVulDBVulDBVulDB
response_summaryThe vendor was contacted early about this disclosure but did not respond in any way.The vendor was contacted early about this disclosure but did not respond in any way.The vendor was contacted early about this disclosure but did not respond in any way.
cvss2_vuldb_avNNN
cvss2_vuldb_acLLL
cvss2_vuldb_ciNNN
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rcURURUR
cvss4_vuldb_avNNN
cvss4_vuldb_acLLL
cvss4_vuldb_uiNNN
cvss4_vuldb_vcNNN
cvss4_vuldb_viLLL
cvss4_vuldb_vaLLL
cvss4_vuldb_ePPP
cvss2_vuldb_auSSS
cvss2_vuldb_rlNDNDND
cvss3_vuldb_prLLL
cvss3_vuldb_rlXXX
cvss4_vuldb_atNNN
cvss4_vuldb_prLLL
cvss4_vuldb_scNNN
cvss4_vuldb_siNNN
cvss4_vuldb_saNNN
cvss2_vuldb_basescore5.55.55.5
cvss2_vuldb_tempscore4.74.74.7
cvss3_vuldb_basescore5.45.45.4
cvss3_vuldb_tempscore4.94.94.9
cvss3_meta_basescore5.45.45.4
cvss3_meta_tempscore4.95.15.1
cvss4_vuldb_bscore5.35.35.3
cvss4_vuldb_btscore2.12.12.1
advisory_date1759528800 (04/10/2025)1759528800 (04/10/2025)1759528800 (04/10/2025)
price_0day$0-$5k$0-$5k$0-$5k
cvss4_cna_uiNN
cvss4_cna_vcNN
cvss4_cna_viLL
cvss4_cna_vaLL
cvss4_cna_scNN
cvss4_cna_siNN
cvss4_cna_saNN
cvss4_cna_bscore5.35.3
cvss3_cna_avNN
cvss3_cna_acLL
cvss3_cna_prLL
cvss3_cna_uiNN
cvss3_cna_sUU
cvss3_cna_cNN
cvss3_cna_iLL
cvss3_cna_aLL
cvss3_cna_basescore5.45.4
cvss2_cna_avNN
cvss2_cna_acLL
cvss2_cna_auSS
cvss2_cna_ciNN
cvss2_cna_iiPP
cvss2_cna_aiPP
cvss2_cna_basescore5.55.5
cve_nvd_summaryA vulnerability has been found in SeriaWei ZKEACMS up to 4.3. This affects the function Delete of the file src/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs of the component POST Request Handler. The manipulation leads to improper authorization. Remote exploitation of the attack is possible. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.A vulnerability has been found in SeriaWei ZKEACMS up to 4.3. This affects the function Delete of the file src/ZKEACMS.Redirection/Controllers/UrlRedirectionController.cs of the component POST Request Handler. The manipulation leads to improper authorization. Remote exploitation of the attack is possible. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
cvss4_cna_avNN
cvss4_cna_acLL
cvss4_cna_atNN
cvss4_cna_prLL
euvd_idEUVD-2025-32435

اگلا جائزہ پچھلا

Do you know our Splunk app?

Download it now for free!