Katalog CVE

CVE-2018-25421

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Open STA Manager w wersji 2.3 zawiera podatność na przejście ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez manipulację parametrem pliku. Atakujący mogą wysyłać żądania GET do modules/backup/actions.php z parametrem op=getfile i używać sekwencji ../ do przeszukiwania katalogów w celu uzyskania dostępu do wrażliwych plików systemowych.

Ocena ryzyka

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych systemowych, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Umożliwienie atakującym dostępu do krytycznych plików może skutkować poważnymi konsekwencjami dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację Open STA Manager do najnowszej wersji, która usuwa tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji pobierania plików tylko do zaufanych użytkowników oraz monitorować logi w celu wykrywania podejrzanych działań.

Oryginalny opis (angielski, źródło NVD)

Open STA Manager 2.3 contains a path traversal vulnerability that allows authenticated users to download arbitrary files by manipulating the file parameter. Attackers can send GET requests to modules/backup/actions.php with op=getfile and traverse directories using ../ sequences to access sensitive system files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS