CVE-2026-8043
KrytyczneStreszczenie
W Ivanti Xtraction przed wersją 2026.2 występuje zewnętrzna kontrola nazwy pliku, co pozwala zdalnemu uwierzytelnionemu atakującemu na odczyt wrażliwych plików oraz zapis dowolnych plików HTML w katalogu webowym, co prowadzi do ujawnienia informacji oraz potencjalnych ataków po stronie klienta.
Ocena ryzyka
Organizacja może być narażona na ujawnienie wrażliwych danych oraz ataki, które mogą wykorzystać wprowadzone złośliwe skrypty HTML.
Rekomendacja
Zaleca się aktualizację Ivanti Xtraction do wersji 2026.2 lub nowszej oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do wrażliwych plików.
Oryginalny opis (angielski, źródło NVD)
External control of a file name in Ivanti Xtraction before version 2026.2 allows a remote authenticated attacker to read sensitive files and write arbitrary HTML files to a web directory, leading to information disclosure and possible client-side attacks.

