CVE-2026-41046
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność typu path traversal w qSnapper przed wersją 1.3.3 umożliwia lokalnemu atakującemu użycie złośliwych plików konfiguracyjnych snappera poprzez parametr "configName". Może to prowadzić do odmowy usługi lub potencjalnej eskalacji uprawnień do roota.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kontroli nad systemem przez lokalnego użytkownika, co może skutkować całkowitą kompromitacją poufności, integralności i dostępności danych.
Rekomendacja
Należy niezwłocznie zaktualizować qSnapper do wersji 1.3.3 lub nowszej, która eliminuje podatność. Dodatkowo warto ograniczyć dostęp lokalny do systemu tylko zaufanym użytkownikom.
Oryginalny opis (angielski, źródło NVD)
A path traversal attack when using a "configName" parameter in qSnapper before version 1.3.3 allowed a local attacker to use malicious config files for snapper and so cause a denial of service or potentially escalate privileges to root.

