Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en lenve VBlog (CVE-2025-2363)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/03/2025
Última modificación:
17/03/2025

Descripción

Se ha detectado una vulnerabilidad clasificada como crítica en lenve VBlog hasta la versión 1.0.0. La función uploadImg del archivo blogserver/src/main/java/org/sang/controller/ArticleController.java se ve afectada. La manipulación del argumento filename provoca un path traversal. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.