Vulnerabilidad en Rocket TRUfusion Enterprise (CVE-2025-59793)

Gravedad:

Pendiente de análisis

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/02/2026

Última modificación:

18/02/2026

Descripción

Rocket TRUfusion Enterprise hasta la versión 7.10.5 expone el endpoint en /axis2/services/WsPortalV6UpDwAxis2Impl a usuarios autenticados para poder subir archivos. Sin embargo, la aplicación no sanitiza correctamente el parámetro jobDirectory, lo que permite incluir secuencias de salto de ruta. Esto permite escribir archivos en ubicaciones arbitrarias del sistema de archivos local y puede conducir posteriormente a la ejecución remota de código.

Impacto

Referencias a soluciones, herramientas e información

https://www.rcesecurity.com
https://www.rcesecurity.com/advisories/cve-2025-59793/
https://www.rocketsoftware.com/en-us/products/b2b-supply-chain-integration/trufusion
https://www.rocketsoftware.com/products/rocket-b2b-supply-chain-integration/rocket-trufusion-enterprise