Katalog CVE

CVE-2025-40541

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Serv-U występuje podatność typu Insecure Direct Object Reference (IDOR), która pozwala złośliwemu użytkownikowi na wykonanie kodu natywnego jako konto z uprawnieniami administracyjnymi. Wymaga to jednak posiadania uprawnień administracyjnych do wykorzystania tej luki.

Ocena ryzyka

Na systemach Windows ryzyko zostało ocenione jako średnie, ponieważ usługi często działają domyślnie pod mniej uprzywilejowanymi kontami serwisowymi. W przypadku wykorzystania tej podatności, złośliwy aktor może uzyskać dostęp do wrażliwych zasobów.

Rekomendacja

Zaleca się ograniczenie dostępu do kont administracyjnych oraz monitorowanie i audytowanie uprawnień w systemie. Należy również zaktualizować oprogramowanie do najnowszej wersji, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

An Insecure Direct Object Reference (IDOR) vulnerability exists in Serv-U, which when exploited, gives a malicious actor the ability to execute native code as a privileged account. This issue requires administrative privileges to abuse. On Windows deployments, the risk is scored as a medium because services frequently run under less-privileged service accounts by default.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS