CVE-2026-2331
CriticalSummary
Atakujący może przeprowadzać nieautoryzowane operacje odczytu i zapisu w wrażliwych obszarach systemu plików za pomocą AppEngine Fileaccess przez HTTP z powodu niewłaściwych ograniczeń dostępu. Krytyczny katalog systemu plików został niezamierzenie ujawniony przez funkcję dostępu do plików opartą na HTTP, co umożliwia dostęp bez uwierzytelnienia.
Risk Assessment
Ujawnienie wrażliwych plików konfiguracyjnych może prowadzić do modyfikacji ustawień aplikacji, w tym haseł użytkowników. Dodatkowo, możliwość wykonania dowolnego kodu Lua w środowisku AppEngine może stwarzać poważne zagrożenie dla bezpieczeństwa aplikacji.
Recommendation
Zaleca się wprowadzenie odpowiednich ograniczeń dostępu do krytycznych katalogów systemu plików oraz audyt istniejących ustawień bezpieczeństwa w celu zabezpieczenia aplikacji przed nieautoryzowanym dostępem.
Original NVD description (English source)
An attacker may perform unauthenticated read and write operations on sensitive filesystem areas via the AppEngine Fileaccess over HTTP due to improper access restrictions. A critical filesystem directory was unintentionally exposed through the HTTP-based file access feature, allowing access without authentication. This includes device parameter files, enabling an attacker to read and modify application settings, including customer-defined passwords. Additionally, exposure of the custom application directory may allow execution of arbitrary Lua code within the sandboxed AppEngine environment.

