Vulnerabilidad en Atheos (CVE-2025-47788)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

15/05/2025

Última modificación:

15/04/2026

Descripción

Atheos es un IDE en la nube autoalojado y basado en navegador. Antes de la versión v602, al igual que en GHSA-rgjm-6p59-537v/CVE-2025-22152, el parámetro `$target` en `/controller.php` no se validaba correctamente, lo que podía permitir que un atacante ejecutara archivos arbitrarios en el servidor mediante el path traversal. La versión v602 incluye una solución para este problema.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto

Puntuación base 4.0

9.40

Gravedad 4.0

CRÍTICA

Vulnerabilidad en Atheos (CVE-2025-47788)

Descripción

Impacto

Referencias a soluciones, herramientas e información