Katalog CVE

CVE-2026-34026

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 - wyżej niż 31% wszystkich znanych CVE

Streszczenie

Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera podatność typu path traversal w parametrze documentName na końcówce /safe/selfservice/openselfservicedocument. Umożliwia to uwierzytelnionemu atakującemu z dowolną rolą lub poziomem uprawnień przeglądanie poza zamierzony katalog dokumentów i pobieranie dowolnych plików dostępnych dla aplikacji.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak pliki dziennika aplikacji oraz pliki binarne aplikacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów walidacji wejścia w celu zabezpieczenia parametru documentName oraz ograniczenie dostępu do wrażliwych plików w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Wertheim SafeController Software, AssemblyVersion 6.15.8328.28014, contains a path traversal vulnerability in the documentName parameter of the /safe/selfservice/openselfservicedocument endpoint. The application constructs a file path using attacker-controlled input without sufficient validation, allowing an authenticated attacker with any role or permission level to traverse out of the intended document directory and download arbitrary files accessible to the application. This includes, but is not limited to, application log files containing sensitive information and application binaries.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS