CVE-2025-30343

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-30343
A directory traversal issue was discovered in OpenSlides before 4.2.5. Files can be uploaded to OpenSlides meetings and organized in folders. The interface allows users to download a ZIP archive that contains all files in a folder and its subfolders. If an attacker specifies the title of a file or folder as a relative or absolute path (e.g., ../../../etc/passwd), the ZIP archive generated for download converts that title into a path. Depending on the extraction tool used by the user, this might overwrite files locally outside of the chosen directory.

3.0 /10

CVSS v3 : LOW

V3 Legend

Vector :

Exploitability : 1.3 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides Exploit Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:openslides:openslides:*:*:*:*:*:*:*:*
History

27 Mar 2025, 14:00

Type Values Removed Values Added
References () https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides - () https://www.x41-dsec.de/lab/advisories/x41-2025-001-OpenSlides - Exploit, Third Party Advisory
First Time Openslides
Openslides openslides
CWE CWE-22
CPE cpe:2.3:a:openslides:openslides:*:*:*:*:*:*:*:*
Summary
  • (es) Se detectó un problema de directory traversal en OpenSlides antes de la versión 4.2.5. Se pueden subir archivos a las reuniones de OpenSlides y organizarlos en carpetas. La interfaz permite a los usuarios descargar un archivo ZIP que contiene todos los archivos de una carpeta y sus subcarpetas. Si un atacante especifica el título de un archivo o carpeta como una ruta relativa o absoluta (p. ej., ../../../etc/passwd), el archivo ZIP generado para la descarga convierte ese título en una ruta. Según la herramienta de extracción utilizada, esto podría sobrescribir archivos localmente fuera del directorio seleccionado.

21 Mar 2025, 06:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-03-21 06:15

Updated : 2025-03-27 14:00

NVD link : CVE-2025-30343

Mitre link : CVE-2025-30343

CVE.ORG link : CVE-2025-30343

JSON object : View

Products Affected

openslides

  • openslides
CWE
CWE-24

Path Traversal: '../filedir'

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')