- +48 504 602 723
- [email protected]
| CVE ID | CVE-2025-52994 |
| Data publikacji | 27.06.2025 |
| Nazwa podatnego oprogramowania | phpThumb |
| Podatne wersje | Wszystkie do v1.7.23 |
| Typ podatności (CWE) | Improper Neutralization of Special Elements used in a Command (’Command Injection’) (CWE-77) |
| Zgłaszający | Robert Kruczek, Kamil Szczurowski |
Biblioteka phpThumb w wersjach do 1.7.23 zawiera poważną podatność w parametrze $lpszFileName, w funkcji gif_outputAsJpeg. Pozwala ona na wstrzyknięcie poleceń systemowych, co w praktyce oznacza możliwość wykonania dowolnego kodu na serwerze. W związku z tym zaleca się pilną aktualizację do najnowszej wersji i dokładną weryfikację logów pod kątem podejrzanej aktywności.
