CVE-2025-60949
KrytyczneStreszczenie
Census CSWeb w wersji 8.0.1 umożliwia dostęp do katalogu 'app/config' przez HTTP w niektórych wdrożeniach. Zdalny, nieautoryzowany atakujący może wysyłać żądania do plików konfiguracyjnych i uzyskać wyciekłe sekrety.
Ocena ryzyka
Organizacja narażona jest na ujawnienie wrażliwych informacji, co może prowadzić do dalszych ataków lub naruszenia bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do wersji 8.1.0 alpha, aby zlikwidować tę podatność oraz zabezpieczenie dostępu do plików konfiguracyjnych.
Oryginalny opis (angielski, źródło NVD)
Census CSWeb 8.0.1 allows "app/config" to be reachable via HTTP in some deployments. A remote, unauthenticated attacker could send requests to configuration files and obtain leaked secrets. Fixed in 8.1.0 alpha.

