Katalog CVE

CVE-2026-7411

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach Eclipse BaSyx Java Server SDK przed 2.0.0-milestone-10 występuje niewłaściwa normalizacja ścieżek w API HTTP Submodel, co pozwala nieautoryzowanemu zdalnemu atakującemu na przeprowadzenie ataku typu path traversal. Atakujący może dostarczyć złośliwie skonstruowany parametr fileName podczas operacji przesyłania plików, co umożliwia zapisanie dowolnych plików w systemie plików hosta.

Ocena ryzyka

To może prowadzić do zdalnego wykonania kodu (RCE) oraz całkowitego kompromitacji systemu, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.0-milestone-10 lub nowszej, aby zabezpieczyć się przed tymi podatnościami oraz wdrożenie dodatkowych mechanizmów kontroli dostępu do operacji przesyłania plików.

Oryginalny opis (angielski, źródło NVD)

In Eclipse BaSyx Java Server SDK versions prior to 2.0.0-milestone-10, inadequate path normalization in the Submodel HTTP API allows an unauthenticated remote attacker to perform a path traversal attack. By supplying a maliciously crafted fileName parameter during a file upload operation, an attacker can bypass intended storage boundaries and write arbitrary files to any location on the host filesystem accessible by the Java process. This can lead to Remote Code Execution (RCE) and complete system compromise.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS