Katalog CVE

CVE-2026-56122

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym dostęp do wrażliwych plików systemowych, zwłaszcza gdy usługa działa z podwyższonymi uprawnieniami.

Rekomendacja

Zaleca się aktualizację Winstone Servlet Engine do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak filtrowanie żądań HTTP.

Oryginalny opis (angielski, źródło NVD)

Winstone Servlet Engine through 0.9.10 contains a path traversal vulnerability that allows unauthenticated attackers to read arbitrary files by sending HTTP GET requests with dot-dot-slash sequences that are not sanitized when serving static files from the configured webroot. Attackers can traverse outside the webroot directory using traversal-prefixed paths in a single HTTP request to read any file accessible to the servlet engine process, including sensitive system files when the service runs with elevated privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS