CVE-2025-60914 – Unautorisierter Zugriff(IDOR) auf Dateien im Upload-Verzeichnis über ∕display_logo
Metadaten
| CVE-2025-60914 |
| OpenAtlas |
| Austrian Academy of Sciences Österreichische Akademie der Wissenschaften |
| <= 8.12.0 |
| 8.13.0 |
| 8.7 Hoch CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
| CWE-862 |
| OpenAtlas Release Notes |
| 08.August.2025 |
| Ferat Aydin |
Schwachstellenbeschreibung
Der Endpunkt /display_logo/ liefert Dateien aus dem Upload-∕Logo-Verzeichnis ohne erforderliche Autorisierung aus. Ein externer, nicht angemeldeter Angreifer kann so beliebige, dort abgelegte Dateien abrufen.
/display_logo/file.txt
Auswirkungen
- Offenlegung interner Assets und Dateien
Hersteller-Statement
“Bei display_logo() gibt es zusätzliche Checks und der Dateiname wird nicht mehr vom Funktionsparameter benutzt (nur die Endung)”
Empfehlungen
- Update auf Aktuelle Version[OpenAtlas Version]
Proof of Concept / Beweisführung
openatlas/views/file.py
@app.route('/display_logo/<path:filename>')
def display_logo(filename: str) -> Any:
return send_from_directory(app.config['UPLOAD_PATH'], filename)
Diese Schwachstelle wurde im Rahmen eines Penetrationstests einer internen Infrastruktur entdeckt.
Zeitleiste
| 2025 | Ereignis | Anmerkung |
|---|---|---|
| Entdeckung der Schwachstelle | Schwachstelle im Rahmen eines On-Premise-Tests entdeckt | |
| Versenden Bericht | Bericht an hersteller gesendet | |
| Review und Rückmeldung | Hersteller informiert die Researcher das die Schwachstelle behoben wurde | |
| MITRE CVE | Erhalte der CVE von MITRE |
Dank & Annerkennung
Wir bedanken uns beim OpenAtlas-Team für die sehr gute Kommunikation, die schnelle Bereitstellung des Fixes und die vorbildliche Einhaltung der Koordinierten Offenlegung.