Katalog CVE

CVE-2025-66955

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność Local File Inclusion w komponentach Contact Plan, E-Mail, SMS i Fax w systemie Asseco SEE Live 2.0 umożliwia zdalnym, uwierzytelnionym użytkownikom dostęp do plików na hoście poprzez parametr "path" w wywołaniach API downloadAttachment i downloadAttachmentFromPath.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany odczyt wrażliwych plików systemowych, co może prowadzić do wycieku danych konfiguracyjnych, haseł lub innych poufnych informacji.

Rekomendacja

Należy niezwłocznie zaktualizować system Asseco SEE Live 2.0 do najnowszej wersji łatającej tę podatność oraz ograniczyć dostęp do API tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Local File Inclusion in Contact Plan, E-Mail, SMS and Fax components in Asseco SEE Live 2.0 allows remote authenticated users to access files on the host via "path" parameter in the downloadAttachment and downloadAttachmentFromPath API calls.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS