CVE-2025-41754

Arbitrary Read with ubr-editfile

CVSS 6.5 MEDIUMEPSS 0.3%CWE-1242

Em resumo

Um invasor com acesso básico à rede pode ler qualquer arquivo do sistema usando um recurso oculto e não documentado no servidor web. Isso é perigoso porque arquivos sensíveis com senhas ou configurações podem ser expostos.

Detalhe técnico

O método ubr-editfile em wwwubr.cgi não possui controles de acesso adequados e validação de entrada, permitindo que atacantes remotos com privilégios baixos ou não autenticados façam leituras arbitrárias de arquivos. A vulnerabilidade está em um endpoint de API não documentado que não foi devidamente protegido ou removido do código.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A low-privileged remote attacker can exploit the ubr-editfile method in wwwubr.cgi, an undocumented and unused API endpoint to read arbitrary files on the system.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

MBS · UBR-01 Mk II MBS · UBR-02 MBS · UBR-LON

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.mbs-solutions.de/mbs-2025-0001