Vulnerabilidad en EZ Sync de ADM (CVE-2025-7699)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

16/07/2025

Última modificación:

16/07/2025

Descripción

Se detectó una vulnerabilidad de control de acceso indebido en el administrador de EZ Sync de ADM. Esta vulnerabilidad permite a los usuarios autenticados copiar archivos arbitrarios del sistema de archivos del servidor a su propia carpeta de EZSync. Esta vulnerabilidad se debe a la falta de comprobaciones de autorización en el parámetro de archivo de la solicitud HTTP. Los atacantes pueden explotar esta vulnerabilidad para acceder a archivos fuera de su ámbito autorizado, siempre que el archivo tenga permisos de lectura para otros usuarios del sistema operativo subyacente. Esto puede provocar la exposición no autorizada de datos confidenciales. Los productos y versiones afectados incluyen: desde ADM 4.1.0 hasta ADM 4.3.3.RH61, así como ADM 5.0.0.RIN1 y versiones anteriores.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

7.10

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://www.asustor.com/security/security_advisory_detail?id=46