Katalog CVE

CVE-2025-15559

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Nieautoryzowany atakujący może wstrzykiwać polecenia systemu operacyjnego podczas wywoływania punktu końcowego API serwera w NesterSoft WorkTime. Parametr 'guid' w wywołaniu API do generowania i pobierania klienta WorkTime z serwera WorkTime jest podatny, co pozwala na wykonanie dowolnych poleceń na serwerze z najwyższymi uprawnieniami.

Ocena ryzyka

Atakujący może uzyskać dostęp do wrażliwych danych, manipulować nimi oraz przejąć kontrolę nad całym serwerem, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie oprogramowania NesterSoft WorkTime do najnowszej wersji oraz wdrożenie odpowiednich zabezpieczeń, aby zminimalizować ryzyko wstrzykiwania poleceń.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated attacker can inject OS commands when calling a server API endpoint in NesterSoft WorkTime. The server API call to generate and download the WorkTime client from the WorkTime server is vulnerable in the “guid” parameter. This allows an attacker to execute arbitrary commands on the WorkTime server as NT Authority\SYSTEM with the highest privileges. Attackers are able to access or manipulate sensitive data and take over the whole server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS