CVE-2025-59793
🔴 Łataj teraz
Błąd w Rocket TRUfusion Enterprise umożliwia atakującym zapis plików w dowolnej lokalizacji, co może prowadzić do zdalnego wykonania kodu.
CVSS
9.9
EPSS
0.5%
Exploit
poc
Vendor
rocketsoftware
Opis źródłowy (NVD)
Rocket TRUfusion Enterprise through 7.10.5 exposes the endpoint at /axis2/services/WsPortalV6UpDwAxis2Impl to authenticated users to be able to upload files. However, the application doesn't properly sanitize the jobDirectory parameter, which allows path traversal sequences to be included. This allows writing files to arbitrary local filesystem locations and may subsequently lead to remote code execution.
exploit path-traversal rce
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.9 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.5% |
| Opublikowano (NVD) | 2026-02-17 19:21:54 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-03 11:34:55 UTC |
Referencje
- https://www.rcesecurity.com (cve@mitre.org) [Not Applicable]
- https://www.rcesecurity.com/advisories/cve-2025-59793/ (cve@mitre.org) [Exploit, Third Party Advisory]
- https://www.rocketsoftware.com/en-us/products/b2b-supply-chain-integration/trufusion (cve@mitre.org) [Product]
- https://www.rocketsoftware.com/products/rocket-b2b-supply-chain-integration/rocket-trufusion-enterprise (cve@mitre.org) [Product]