Katalog CVE

CVE-2026-2752

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 - wyżej niż 17% wszystkich znanych CVE

Streszczenie

Navtor NavBox umożliwia ujawnienie informacji poprzez punkt końcowy /api/ais-data. Zdalny, nieautoryzowany atakujący może wysłać spreparowane żądania, co prowadzi do nieobsłużonego wyjątku i zwrócenia szczegółowych śladów stosu .NET przez serwer.

Ocena ryzyka

Ujawnione komunikaty o błędach mogą pomóc atakującym w zrozumieniu wewnętrznej struktury aplikacji, co zwiększa ryzyko dalszych ataków.

Rekomendacja

Zaleca się zabezpieczenie punktu końcowego /api/ais-data oraz wdrożenie odpowiednich mechanizmów obsługi błędów, aby nie ujawniać szczegółowych informacji o aplikacji.

Oryginalny opis (angielski, źródło NVD)

Navtor NavBox allows information disclosure via the /api/ais-data endpoint. A remote, unauthenticated attacker can send crafted requests to trigger an unhandled exception, causing the server to return verbose .NET stack traces. These error messages expose internal class names, method calls, and third-party library references (e.g., System.Data.SQLite), which may assist attackers in mapping the application's internal structure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS