Katalog CVE

CVE-2026-34184

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

System Kontroli Hydrosystem nie wymusza autoryzacji dla niektórych katalogów, co pozwala nieautoryzowanemu atakującemu na odczyt wszystkich plików w tych katalogach oraz ich wykonanie. Krytycznie, atakujący może bezpośrednio uruchamiać skrypty PHP na podłączonej bazie danych.

Ocena ryzyka

Brak odpowiedniej autoryzacji może prowadzić do poważnych naruszeń bezpieczeństwa, w tym do nieautoryzowanego dostępu do danych oraz możliwości wykonania złośliwego kodu. To stwarza ryzyko utraty poufności i integralności danych w organizacji.

Rekomendacja

Zaleca się aktualizację systemu Kontroli Hydrosystem do wersji 9.8.5, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że autoryzacja jest prawidłowo wdrożona w całym systemie.

Oryginalny opis (angielski, źródło NVD)

Hydrosystem Control System does not enforce authorization for some directories. This allows an unauthorized attacker to read all files in these directories and even execute some of them. Critically the attacker could run PHP scripts directly on the connected database.This issue was fixed in Hydrosystem Control System version 9.8.5

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS