Vulnerabilidad en Badaso CMS 2.9.11 (CVE-2025-52353)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

26/08/2025

Última modificación:

26/08/2025

Descripción

Una vulnerabilidad de ejecución de código arbitrario en Badaso CMS 2.9.11. El Media Manager permite a los usuarios autenticados subir archivos con código PHP incrustado a través del endpoint de carga de archivos, omitiendo la validación del tipo de contenido. Al acceder a dicho archivo a través de su URL, el servidor ejecuta la carga útil PHP, lo que permite a un atacante ejecutar comandos arbitrarios del sistema y comprometer completamente el host subyacente. Esto se ha demostrado incrustando una puerta trasera en un PDF y renombrándolo con la extensión .php.

Impacto

Referencias a soluciones, herramientas e información

https://github.com/uasoft-indonesia/badaso
https://medium.com/@pat.sanitjairak/remote-code-execution-in-a-plain-view-0f86f183543d