CVE-2025-13266 | THREATINT

Description

A security vulnerability has been detected in wwwlike vlife up to 2.0.1. This issue affects the function create of the file vlife-base/src/main/java/cn/wwwlike/sys/api/SysFileApi.java of the component VLifeApi. Such manipulation of the argument fileName leads to path traversal. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used.

Es wurde eine Schwachstelle in wwwlike vlife up to 2.0.1 entdeckt. Betroffen ist die Funktion create der Datei vlife-base/src/main/java/cn/wwwlike/sys/api/SysFileApi.java der Komponente VLifeApi. Durch die Manipulation des Arguments fileName mit unbekannten Daten kann eine path traversal-Schwachstelle ausgenutzt werden. Ein Angriff ist aus der Distanz möglich. Der Exploit wurde der Öffentlichkeit bekannt gemacht und könnte verwendet werden.

PUBLISHED Reserved 2025-11-16 | Published 2025-11-17 | Updated 2025-11-17 | Assigner VulDB

MEDIUM: 6.9CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:P

MEDIUM: 5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:R

MEDIUM: 5.3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:R

5.0AV:N/AC:L/Au:N/C:P/I:N/A:N/E:POC/RL:ND/RC:UR

Problem types

Path Traversal

Product status

2.0.0

affected

2.0.1

affected

Timeline

2025-11-16:	Advisory disclosed
2025-11-16:	VulDB entry created
2025-11-16:	VulDB entry last update

Credits

R1ckyZ (VulDB User) reporter

References

vuldb.com/?id.332601 (VDB-332601 | wwwlike vlife VLifeApi SysFileApi.java create path traversal) vdb-entry technical-description

vuldb.com/?ctiid.332601 (VDB-332601 | CTI Indicators (IOB, IOC, TTP, IOA)) signature permissions-required

vuldb.com/?submit.689436 (Submit #689436 | vlife 2.0.1 Arbitrary File Read) third-party-advisory

github.com/wwwlike/vlife/issues/3 exploit issue-tracking

cve.org (CVE-2025-13266)

nvd.nist.gov (CVE-2025-13266)

Download JSON