CVE-2026-11420
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 — wyżej niż 50% wszystkich znanych CVE
Streszczenie
Dwie podatności typu path traversal w usłudze Network Installation Service (NIS) serwera Altium Enterprise pozwalają nieautoryzowanemu atakującemu na zapis dowolnych plików w dowolnej zapisywalnej lokalizacji na systemie plików serwera oraz na odczyt plików archiwów pakietów z serwera.
Ocena ryzyka
Wykorzystanie tych podatności może prowadzić do zdalnego wykonania kodu w kontekście konta usługi oraz ujawnienia zawartości pakietów wdrożeniowych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie serwera Altium Enterprise do najnowszej wersji, aby usunąć te podatności oraz ograniczenie dostępu do usługi NIS tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Two path traversal vulnerabilities in the Network Installation Service (NIS) of Altium Enterprise Server allow an unauthenticated network attacker to write arbitrary files to any writable location on the server filesystem and to read package archive files from the server. No authentication, session, or credentials are required. Because content-controlled files can be written to web-accessible directories, or used to overwrite application binaries or configuration files, exploitation can be escalated to remote code execution in the context of the service account, and can disclose deployment package contents. Altium 365 cloud deployments are not affected, as the Network Installation Service is not part of the cloud offering.

