CVE-2025-2125: Control iD RH iD PDF Document companyId resource injection
Description
A vulnerability has been found in Control iD RH iD 25.2.25.0 and classified as problematic. This vulnerability affects unknown code of the file /v2/report.svc/comprovante_marcacao/?companyId=1 of the component PDF Document Handler. The manipulation of the argument nsr leads to improper control of resource identifiers. The attack can be initiated remotely. The vendor was contacted early about this disclosure but did not respond in any way. In Control iD RH iD 25.2.25.0 wurde eine problematische Schwachstelle gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Datei /v2/report.svc/comprovante_marcacao/?companyId=1 der Komponente PDF Document Handler. Durch die Manipulation des Arguments nsr mit unbekannten Daten kann eine improper control of resource identifiers-Schwachstelle ausgenutzt werden. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen.
Classification
CVE ID: CVE-2025-2125
CVSS Base Severity: MEDIUM
CVSS Base Score: 5.3
CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Problem Types
Improper Control of Resource IdentifiersAffected Products
Vendor: Control iD
Product: RH iD
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.03% (probability of being exploited)
EPSS Percentile: 4.27% (scored less or equal to compared to others)
EPSS Date: 2025-04-07 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-2125https://vuldb.com/?id.299038
https://vuldb.com/?ctiid.299038
https://vuldb.com/?submit.509856
https://github.com/yago3008/cves