CVE-2025-66480

Wildfire IM is an instant messaging and real-time audio/video solution. Prior to 1.4.3, a critical vulnerability exists in the im-server component related to the file upload functionality found in com.xiaoleilu.loServer.action.UploadFileAction. The application exposes an endpoint (/fs) that handles multipart file uploads but fails to properly sanitize the filename provided by the user. Specifically, the writeFileUploadData method directly concatenates the configured storage directory with the filename extracted from the upload request without stripping directory traversal sequences (e.g., ../../). This vulnerability allows an attacker to write arbitrary files to any location on the server's filesystem where the application process has write permissions. By uploading malicious files (such as scripts, executables, or overwriting configuration files like authorized_keys or cron jobs), an attacker can achieve Remote Code Execution (RCE) and completely compromise the server. This vulnerability is fixed in 1.4.3.

CVSS v3 9.8 CRITICAL

9.8^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/wildfirechat/im-server/commit/2f9c4e028c01c64913cab32e7248bcca183a5230	Patch
https://github.com/wildfirechat/im-server/releases/tag/1.4.3	Release Notes
https://github.com/wildfirechat/im-server/security/advisories/GHSA-74hq-jhx2-fq6c	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:wildfirechat:im-server:*:*:*:*:*:*:*:*

History

03 Mar 2026, 01:01

Type	Values Removed	Values Added
First Time		Wildfirechat Wildfirechat im-server
Summary		(es) Wildfire IM es una solución de mensajería instantánea y audio/video en tiempo real. Prior a la versión 1.4.3, existe una vulnerabilidad crítica en el componente im-server relacionada con la funcionalidad de carga de archivos encontrada en com.xiaoleilu.loServer.action.UploadFileAction. La aplicación expone un endpoint (/fs) que maneja cargas de archivos multipart pero no sanitiza correctamente el nombre de archivo proporcionado por el usuario. Específicamente, el método writeFileUploadData concatena directamente el directorio de almacenamiento configurado con el nombre de archivo extraído de la solicitud de carga sin eliminar las secuencias de salto de directorio (p. ej., ../../). Esta vulnerabilidad permite a un atacante escribir archivos arbitrarios en cualquier ubicación del sistema de archivos del servidor donde el proceso de la aplicación tenga permisos de escritura. Al cargar archivos maliciosos (como scripts, ejecutables o sobrescribiendo archivos de configuración como authorized_keys o tareas cron), un atacante puede lograr Ejecución Remota de Código (RCE) y comprometer completamente el servidor. Esta vulnerabilidad está corregida en la versión 1.4.3.
CPE		cpe:2.3:a:wildfirechat:im-server::::::::
References	~~() https://github.com/wildfirechat/im-server/commit/2f9c4e028c01c64913cab32e7248bcca183a5230 -~~	() https://github.com/wildfirechat/im-server/commit/2f9c4e028c01c64913cab32e7248bcca183a5230 - Patch
References	~~() https://github.com/wildfirechat/im-server/releases/tag/1.4.3 -~~	() https://github.com/wildfirechat/im-server/releases/tag/1.4.3 - Release Notes
References	~~() https://github.com/wildfirechat/im-server/security/advisories/GHSA-74hq-jhx2-fq6c -~~	() https://github.com/wildfirechat/im-server/security/advisories/GHSA-74hq-jhx2-fq6c - Vendor Advisory

02 Feb 2026, 23:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-02 23:16

Updated : 2026-03-03 01:01

NVD link : CVE-2025-66480

Mitre link : CVE-2025-66480

CVE.ORG link : CVE-2025-66480

JSON object : View

Products Affected

wildfirechat

im-server

CWE

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

CWE-434

Unrestricted Upload of File with Dangerous Type

9.8 /10