CVE-2025-22152

Atheos is a self-hosted browser-based cloud IDE. Prior to v600, the $path and $target parameters are not properly validated across multiple components, allowing an attacker to read, modify, or execute arbitrary files on the server. These vulnerabilities can be exploited through various attack vectors present in multiple PHP files. This vulnerability is fixed in v600.
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Atheos es un IDE en la nube basado en navegador y alojado por el usuario. Antes de la versión v600, los parámetros $path y $target no se validaban correctamente en varios componentes, lo que permitía a un atacante leer, modificar o ejecutar archivos arbitrarios en el servidor. Estas vulnerabilidades se pueden explotar a través de varios vectores de ataque presentes en varios archivos PHP. Esta vulnerabilidad se solucionó en la versión v600.

10 Jan 2025, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-01-10 16:15

Updated : 2026-06-17 08:45


NVD link : CVE-2025-22152

Mitre link : CVE-2025-22152

CVE.ORG link : CVE-2025-22152


JSON object : View

Products Affected

No product.

CWE
CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CWE-94

Improper Control of Generation of Code ('Code Injection')

CWE-434

Unrestricted Upload of File with Dangerous Type