anonhaven

CVE-2019-25577

MEDIUM CVSS 4.0: 6,8 EPSS 0.02%
Обновлено 23 марта 2026
SeoToaster
Параметр Значение
CVSS 6,8 (MEDIUM)
Тип уязвимости CWE-22 (Обход пути)
Поставщик SeoToaster
Публичный эксплойт Да

SeoToaster Ecommerce 3.0.0 содержит уязвимость включения локальных файлов, которая позволяет злоумышленникам, прошедшим проверку подлинности, читать произвольные файлы, манипулируя параметрами пути в конечных точках внутренней темы. Злоумышленники могут отправлять запросы POST на /backend/backend_theme/editcss/ или /backend/backend_theme/editjs/ с последовательностями обхода каталога в параметрах getcss или getjs для получения содержимого файла.

Показать оригинальное описание (EN)

SeoToaster Ecommerce 3.0.0 contains a local file inclusion vulnerability that allows authenticated attackers to read arbitrary files by manipulating path parameters in backend theme endpoints. Attackers can send POST requests to /backend/backend_theme/editcss/ or /backend/backend_theme/editjs/ with directory traversal sequences in the getcss or getjs parameters to retrieve file contents.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Ссылки 4

https://www.exploit-db.com/exploits/46190
disclosure@vulncheck.com
https://www.seotoaster.com/downloads/seotoaster.v3.0.0.zip
disclosure@vulncheck.com
https://www.seotoaster.com/shopping-cart/
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/seotoaster-ecommerce-local-file-inclusion-…
disclosure@vulncheck.com
Share Post Share Share Share