CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2018-25421

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

Open STA Manager w wersji 2.3 zawiera podatność na przejście ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez manipulację parametrem pliku. Atakujący mogą wysyłać żądania GET do modules/backup/actions.php z parametrem op=getfile i używać sekwencji ../ do przeszukiwania katalogów w celu uzyskania dostępu do wrażliwych plików systemowych.

Risk Assessment

Podatność ta stwarza ryzyko ujawnienia wrażliwych danych systemowych, co może prowadzić do dalszych ataków na infrastrukturę organizacji. Umożliwienie atakującym dostępu do krytycznych plików może skutkować poważnymi konsekwencjami dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację Open STA Manager do najnowszej wersji, która usuwa tę podatność. Dodatkowo, należy ograniczyć dostęp do funkcji pobierania plików tylko do zaufanych użytkowników oraz monitorować logi w celu wykrywania podejrzanych działań.

Original NVD description (English source)

Open STA Manager 2.3 contains a path traversal vulnerability that allows authenticated users to download arbitrary files by manipulating the file parameter. Attackers can send GET requests to modules/backup/actions.php with op=getfile and traverse directories using ../ sequences to access sensitive system files.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS