CVE-2026-40547
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 35 - wyżej niż 35% wszystkich znanych CVE
Streszczenie
SOPlanning jest podatny na atak typu Path Traversal w punktach końcowych kopii zapasowych. Uwierzytelniony zdalny atakujący może wykorzystać podatny punkt końcowy do skonstruowania ładunków, które umożliwiają odczyt i wykonanie plików dodanych wcześniej za pomocą funkcji kopii zapasowej.
Ocena ryzyka
Krytyczne jest to, że z powodu CVE-2026-40543 (brak autoryzacji) każdy plik kopii zapasowej może być odczytany przez dowolnego (nieautoryzowanego) użytkownika, co stwarza poważne ryzyko dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację SOPlanning do wersji powyżej 1.55 oraz wdrożenie odpowiednich mechanizmów autoryzacji dla punktów końcowych kopii zapasowych.
Oryginalny opis (angielski, źródło NVD)
SOPlanning is vulnerable to Path Traversal in backup endpoints. Authenticated remote attacker is able to exploit a vulnerable endpoint and construct payloads that allow reading and executing files previously added through the backup functionality. Critically, due to CVE-2026-40543 (Missing Authorization), any backup file can be read by any (unauthorized) user. This issue affects SOPlanning version 1.55 and below.

