CVE-2018-25365
WysokieStreszczenie
PCViewer vt1000 zawiera podatność na przejście katalogu, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez przesyłanie sekwencji ścieżek względnych w żądaniach GET. Atakujący mogą wykorzystać sekwencje przejścia katalogu ../../../../../../../../../../../../etc/passwd, aby uzyskać dostęp do wrażliwych plików systemowych poza zamierzonym katalogiem.
Ocena ryzyka
Podatność ta stwarza ryzyko ujawnienia wrażliwych danych systemowych, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Odczytanie plików takich jak /etc/passwd może umożliwić atakującym uzyskanie informacji o użytkownikach systemu.
Rekomendacja
Zaleca się zaktualizowanie PCViewer vt1000 do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja wejścia, aby zapobiec wykorzystaniu sekwencji przejścia katalogu.
Oryginalny opis (angielski, źródło NVD)
PCViewer vt1000 contains a directory traversal vulnerability that allows unauthenticated attackers to read arbitrary files by submitting relative path sequences in GET requests. Attackers can use path traversal sequences ../../../../../../../../../../../../etc/passwd to access sensitive system files outside the intended directory.

