CVE-2025-34121
Idera Up.Time ≤ 7.2 post2file.php Arbitrary File Upload RCE
Vexday Risk Score
63Prioridade alta
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 9.3EPSS 1.7%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
19 nov 2013Exploit Metasploit disponível
16 jul 2025Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
An unauthenticated arbitrary file upload vulnerability exists in Idera Up.Time Monitoring Station versions up to and including 7.2. The `wizards/post2file.php` script accepts arbitrary POST parameters, allowing attackers to upload crafted PHP files to the webroot. Successful exploitation results in remote code execution as the web server user. NOTE: The bypass for this vulnerability is tracked as CVE-2015-9263.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
Idera · Up.Time Monitoring StationPoCs públicas encontradas — 3
cve_referenceraw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/uptime_file_upload_1.rbnão verificadocve_referenceweb.archive.org/web/20150210113937/http://www.security-assessment.com/files/documents/advisory/Up.Time%207.2%20-%20Arbitrary%20File%20Upload.pdfnão verificadocve_referencewww.exploit-db.com/exploits/38732não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/uptime_file_upload_1.rbhttps://web.archive.org/web/20150210113937/http://www.security-assessment.com/files/documents/advisory/Up.Time%207.2%20-%20Arbitrary%20File%20Upload.pdfhttps://www.exploit-db.com/exploits/38732https://www.vulncheck.com/advisories/idera-uptime-arbitrary-file-upload-rce