CVE-2026-34184
KrytyczneStreszczenie
System Kontroli Hydrosystem nie wymusza autoryzacji dla niektórych katalogów, co pozwala nieautoryzowanemu atakującemu na odczyt wszystkich plików w tych katalogach oraz ich wykonanie. Krytycznie, atakujący może bezpośrednio uruchamiać skrypty PHP na podłączonej bazie danych.
Ocena ryzyka
Brak odpowiedniej autoryzacji może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do danych oraz możliwości wykonania złośliwego kodu. To stwarza ryzyko utraty poufności i integralności danych w organizacji.
Rekomendacja
Zaleca się aktualizację systemu Kontroli Hydrosystem do wersji 9.8.5, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że autoryzacja jest prawidłowo wdrożona w całym systemie.
Oryginalny opis (angielski, źródło NVD)
Hydrosystem Control System does not enforce authorization for some directories. This allows an unauthorized attacker to read all files in these directories and even execute some of them. Critically the attacker could run PHP scripts directly on the connected database.This issue was fixed in Hydrosystem Control System version 9.8.5

