CVE-2025-10183
CriticalSummary
W usłudze internetowej OpenMessaging w TecCom TecConnect 4.1 występuje podatność na ślepą iniekcję XML External Entity (XXE), która pozwala nieautoryzowanemu atakującemu na wykradanie dowolnych plików na serwer kontrolowany przez atakującego. TecConnect 4.1 uznawany jest za produkt, którego wsparcie zakończyło się w grudniu 2023 roku.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do wrażliwych danych poprzez wykradanie plików. Użytkownicy korzystający z tej wersji są narażeni na ataki, które mogą prowadzić do utraty danych lub naruszenia prywatności.
Recommendation
Zaleca się jak najszybszą aktualizację do TecCom Connect 5, aby zniwelować ryzyko związane z tą podatnością oraz zapewnić dalsze wsparcie techniczne.
Original NVD description (English source)
A blind XML External Entity (XXE) injection in the OpenMessaging webservice in TecCom TecConnect 4.1 allows an unauthenticated attacker to exfiltrate arbitrary files to an attacker-controlled server. TecConnect 4.1 is considered end-of-life as of December 2023. Users are advised to upgrade to TecCom Connect 5.

