Vulnerabilidad en UnForm Server Manager (CVE-2025-34154)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

13/08/2025

Última modificación:

04/11/2025

Descripción

Las versiones de UnForm Server Manager anteriores a la 10.1.12 exponen una vulnerabilidad de lectura de archivos no autenticados a través de su interfaz de análisis de archivos de registro. La falla reside en el endpoint arc, que acepta un parámetro fl para especificar el archivo de registro que se abrirá. Debido a la insuficiente validación de entrada y a la falta de depuración de rutas, los atacantes pueden proporcionar rutas relativas para acceder a archivos arbitrarios en el sistema host, incluyendo archivos confidenciales del sistema operativo, sin autenticación.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.20

Gravedad 4.0

CRÍTICA

Vulnerabilidad en UnForm Server Manager (CVE-2025-34154)

Descripción

Impacto

Referencias a soluciones, herramientas e información