CVE-2026-34184
CriticalSummary
System Kontroli Hydrosystem nie wymusza autoryzacji dla niektórych katalogów, co pozwala nieautoryzowanemu atakującemu na odczyt wszystkich plików w tych katalogach oraz ich wykonanie. Krytycznie, atakujący może bezpośrednio uruchamiać skrypty PHP na podłączonej bazie danych.
Risk Assessment
Brak odpowiedniej autoryzacji może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do danych oraz możliwości wykonania złośliwego kodu. To stwarza ryzyko utraty poufności i integralności danych w organizacji.
Recommendation
Zaleca się aktualizację systemu Kontroli Hydrosystem do wersji 9.8.5, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że autoryzacja jest prawidłowo wdrożona w całym systemie.
Original NVD description (English source)
Hydrosystem Control System does not enforce authorization for some directories. This allows an unauthorized attacker to read all files in these directories and even execute some of them. Critically the attacker could run PHP scripts directly on the connected database.This issue was fixed in Hydrosystem Control System version 9.8.5

