الثغرات ›

CVE-2018-25353

مرتفع

CWE-863 — نوع الضعف

                    نُشر: May 23, 2026                      ·  آخر تحديث: May 30, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Redaxo CMS Mediapool Addon 5.5.1 and older contains an arbitrary file upload vulnerability that allows authenticated users to bypass file extension blacklist restrictions. Attackers with editor accounts can upload executable files by using obfuscated extensions like php71 or php53 to evade the blacklist filter and execute arbitrary code.

🤖 ملخص AI

Redaxo CMS Mediapool Addon versions 5.5.1 and earlier contain an arbitrary file upload vulnerability allowing authenticated users to bypass file extension blacklist restrictions. Attackers with editor privileges can upload executable files using obfuscated extensions to execute arbitrary code on the server.

📄 الوصف (العربية)

تحتوي إضافة Redaxo CMS Mediapool في الإصدارات 5.5.1 والأقدم على ثغرة تحميل ملفات تعسفية تسمح للمستخدمين المصرح لهم بتجاوز قيود قائمة امتدادات الملفات المحظورة. يمكن للمهاجمين الذين لديهم حسابات محرر تحميل ملفات قابلة للتنفيذ باستخدام امتدادات مموهة مثل php71 أو php53 لتنفيذ أكواد تعسفية على الخادم.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 26, 2026 18:16

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1434 T1505

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Redaxo CMS Mediapool Addon to version 5.5.2 or later immediately. Implement strict server-side file type validation using MIME type checking and magic bytes verification rather than relying on extension blacklists. Restrict file upload permissions to trusted users only and store uploads outside the web root directory.

🔧 خطوات المعالجة (العربية)

قم بترقية إضافة Redaxo CMS Mediapool إلى الإصدار 5.5.2 أو أحدث فوراً. طبق التحقق الصارم من نوع الملف على جانب الخادم باستخدام فحص نوع MIME والتحقق من البايتات السحرية بدلاً من الاعتماد على قوائم امتدادات محظورة. قيد صلاحيات تحميل الملفات للمستخدمين الموثوقين فقط وخزن الملفات المرفوعة خارج دليل الويب.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

AC-2 AC-3 SI-10

🔵 SAMA CSF

CC6.1 CC6.2 CC7.2

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://redaxo.org

disclosure@vulncheck.com

🔗

https://redaxo.org/download/redaxo/5.5.1.zip

disclosure@vulncheck.com

🔗

https://www.exploit-db.com/exploits/44891

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/redaxo-cms-mediapool-addon-arbitrary-file-upload

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-863

EPSS0.06%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-23

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-863

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2018-25353

عرّفنا بنفسك

تسجيل الدخول مطلوب