Vulnerabilities ›

CVE-2025-60949

Critical

Census CSWeb 8.0.1 allows "app/config" to be reachable via HTTP in some deployments. A remote, unauthenticated attacker could send requests to configuration files and obtain leaked secrets. Fixed in 8

CWE-200 — Weakness Type

                    Published: Mar 23, 2026                      ·  Modified: Mar 30, 2026                      ·  Source: NVD                

CVSS v3

9.1

🔗 NVD Official

📄 Description (English)

🤖 AI Executive Summary

Census CSWeb 8.0.1 exposes sensitive configuration files via HTTP without authentication, allowing attackers to retrieve leaked secrets. The vulnerability affects deployments where the app/config endpoint is accessible, with a fix available in version 8.1.0 alpha.

📄 Description (Arabic)

تسمح ثغرة في Census CSWeb 8.0.1 بالوصول غير المصرح إلى ملفات التكوين الحساسة عبر نقطة نهاية HTTP غير محمية. يمكن للمهاجمين البعيدين بدون مصادقة الحصول على أسرار حساسة مثل مفاتيح API وكلمات مرور قواعد البيانات. تم إصلاح هذه المشكلة في الإصدار 8.1.0 ألفا.

🤖 ملخص تنفيذي (AI)

يسمح Census CSWeb 8.0.1 بالوصول إلى ملفات التكوين الحساسة عبر HTTP بدون مصادقة، مما يمكن المهاجمين من استرجاع الأسرار المسربة. تؤثر الثغرة على النشرات حيث تكون نقطة نهاية app/config قابلة للوصول.

🤖 AI Intelligence Analysis Analyzed: Apr 13, 2026 04:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom energy government healthcare

🎯 MITRE ATT&CK Techniques

T1526 T1526.001 T1087 T1087.001

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Census CSWeb to version 8.1.0 alpha or later. Implement network-level access controls to restrict HTTP access to the app/config endpoint. Conduct a security audit to identify if configuration files were accessed and rotate all exposed credentials including API keys, database passwords, and authentication tokens.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى Census CSWeb الإصدار 8.1.0 ألفا أو أحدث. طبق ضوابط الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة نهاية app/config. أجرِ تدقيقاً أمنياً للتحقق من الوصول إلى ملفات التكوين وقم بتدوير جميع بيانات الاعتماد المكشوفة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.1.1 A.9.2.1 A.9.4.3

🔵 SAMA CSF

AC-2 AC-3 SC-7

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3 A.13.1.1

🔗 References & Sources 4

🔗

https://github.com/csprousers/csweb/commit/eba0b59a243390a1a4f9524cce6dbc0314bf0d91

9119a7d8-5eab-497f-8521-727c672e3725

Patch

🔗

https://github.com/hx381/cspro-exploits

9119a7d8-5eab-497f-8521-727c672e3725

Third Party Advisory

🔗

https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2026/va-26-0...

9119a7d8-5eab-497f-8521-727c672e3725

Broken Link

🔗

https://www.cve.org/CVERecord?id=CVE-2025-60949

9119a7d8-5eab-497f-8521-727c672e3725

Third Party Advisory

📦 Affected Products / CPE 1 entries

csprousers:csweb:8.0.1

📊 CVSS Score

9.1

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Critical

CVSS Score9.1

CWECWE-200

Exploit No

Patch ✓ Yes

Published 2026-03-23

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

patch-available CWE-200

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2025-60949

Introduce Yourself

Sign In Required