CVE-2026-34026
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 - wyżej niż 31% wszystkich znanych CVE
Streszczenie
Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera podatność typu path traversal w parametrze documentName na końcówce /safe/selfservice/openselfservicedocument. Umożliwia to uwierzytelnionemu atakującemu z dowolną rolą lub poziomem uprawnień przeglądanie poza zamierzony katalog dokumentów i pobieranie dowolnych plików dostępnych dla aplikacji.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych informacji, takich jak pliki dziennika aplikacji oraz pliki binarne aplikacji, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji wejścia w celu zabezpieczenia parametru documentName oraz ograniczenie dostępu do wrażliwych plików w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Wertheim SafeController Software, AssemblyVersion 6.15.8328.28014, contains a path traversal vulnerability in the documentName parameter of the /safe/selfservice/openselfservicedocument endpoint. The application constructs a file path using attacker-controlled input without sufficient validation, allowing an authenticated attacker with any role or permission level to traverse out of the intended document directory and download arbitrary files accessible to the application. This includes, but is not limited to, application log files containing sensitive information and application binaries.

