Kritischer, uneingeschränkter Dateiupload in Airleader Master/Easy (SYSS-2025-036)

Das "Panel Designer"-Dashboard in Airleader Master und Airleader Easy vor Version 6.36 ermöglicht Remote-Angreifern die Ausführung beliebiger Befehle mithilfe eines uneingeschränkten Dateiuploads über den Pfad "wizard/workspace.jsp". Um dies auszunutzen, muss sich der Angreifer an der Administratorkonsole anmelden (die Standardanmeldeinformationen sind schwach und daher leicht zu erraten) und eine JSP-Datei über das Panel Designer-Dashboard hochladen.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2025-036 (CVE-2025-46612)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.