CVE-2026-9776
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 72 — wyżej niż 72% wszystkich znanych CVE
Streszczenie
Podatność typu Directory Traversal w metodzie writeFileToHttpServletResponse w ATEN Unizon umożliwia zdalnym atakującym ujawnienie poufnych informacji bez uwierzytelnienia. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.
Ocena ryzyka
Atakujący może odczytać dowolne pliki w kontekście systemu SYSTEM, co prowadzi do wycieku wrażliwych danych, takich jak hasła, konfiguracje czy dane użytkowników.
Rekomendacja
Należy niezwłocznie zaktualizować ATEN Unizon do najnowszej wersji, która zawiera poprawkę dla CVE-2026-9776. Do czasu aktualizacji ograniczyć dostęp do systemu tylko zaufanym sieciom.
Oryginalny opis (angielski, źródło NVD)
ATEN Unizon writeFileToHttpServletResponse Directory Traversal Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of ATEN Unizon. Authentication is not required to exploit this vulnerability. The specific flaw exists within the writeFileToHttpServletResponse method. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to disclose information in the context of SYSTEM. Was ZDI-CAN-28505.

