Katalog CVE

CVE-2018-25365

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PCViewer vt1000 zawiera podatność na przejście katalogu, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez przesyłanie sekwencji ścieżek względnych w żądaniach GET. Atakujący mogą wykorzystać sekwencje przejścia katalogu ../../../../../../../../../../../../etc/passwd, aby uzyskać dostęp do wrażliwych plików systemowych poza zamierzonym katalogiem.

Ocena ryzyka

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych systemowych, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Odczytanie plików takich jak /etc/passwd może umożliwić atakującym uzyskanie informacji o użytkownikach systemu.

Rekomendacja

Zaleca się zaktualizowanie PCViewer vt1000 do najnowszej wersji, która naprawia tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja wejścia, aby zapobiec wykorzystaniu sekwencji przejścia katalogu.

Oryginalny opis (angielski, źródło NVD)

PCViewer vt1000 contains a directory traversal vulnerability that allows unauthenticated attackers to read arbitrary files by submitting relative path sequences in GET requests. Attackers can use path traversal sequences ../../../../../../../../../../../../etc/passwd to access sensitive system files outside the intended directory.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS