CVE-2025-66955
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność Local File Inclusion w komponentach Contact Plan, E-Mail, SMS i Fax w systemie Asseco SEE Live 2.0 umożliwia zdalnym, uwierzytelnionym użytkownikom dostęp do plików na hoście poprzez parametr "path" w wywołaniach API downloadAttachment i downloadAttachmentFromPath.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany odczyt wrażliwych plików systemowych, co może prowadzić do wycieku danych konfiguracyjnych, haseł lub innych poufnych informacji.
Rekomendacja
Należy niezwłocznie zaktualizować system Asseco SEE Live 2.0 do najnowszej wersji łatającej tę podatność oraz ograniczyć dostęp do API tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Local File Inclusion in Contact Plan, E-Mail, SMS and Fax components in Asseco SEE Live 2.0 allows remote authenticated users to access files on the host via "path" parameter in the downloadAttachment and downloadAttachmentFromPath API calls.

