CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-15559

Critical
Published: Translated: NVD NIST

Summary

Nieautoryzowany atakujący może wstrzykiwać polecenia systemu operacyjnego podczas wywoływania punktu końcowego API serwera w NesterSoft WorkTime. Parametr 'guid' w wywołaniu API do generowania i pobierania klienta WorkTime z serwera WorkTime jest podatny, co pozwala na wykonanie dowolnych poleceń na serwerze z najwyższymi uprawnieniami.

Risk Assessment

Atakujący może uzyskać dostęp do wrażliwych danych, manipulować nimi oraz przejąć kontrolę nad całym serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się natychmiastowe zaktualizowanie oprogramowania NesterSoft WorkTime do najnowszej wersji oraz wdrożenie odpowiednich zabezpieczeń, aby zminimalizować ryzyko wstrzykiwania poleceń.

Original NVD description (English source)

An unauthenticated attacker can inject OS commands when calling a server API endpoint in NesterSoft WorkTime. The server API call to generate and download the WorkTime client from the WorkTime server is vulnerable in the “guid” parameter. This allows an attacker to execute arbitrary commands on the WorkTime server as NT Authority\SYSTEM with the highest privileges. Attackers are able to access or manipulate sensitive data and take over the whole server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS