CVE-2026-2752
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
Navtor NavBox umożliwia ujawnienie informacji poprzez punkt końcowy /api/ais-data. Zdalny, nieautoryzowany atakujący może wysłać spreparowane żądania, co prowadzi do nieobsłużonego wyjątku i zwrócenia szczegółowych śladów stosu .NET przez serwer.
Ocena ryzyka
Ujawnione komunikaty o błędach mogą pomóc atakującym w zrozumieniu wewnętrznej struktury aplikacji, co zwiększa ryzyko dalszych ataków.
Rekomendacja
Zaleca się zabezpieczenie punktu końcowego /api/ais-data oraz wdrożenie odpowiednich mechanizmów obsługi błędów, aby nie ujawniać szczegółowych informacji o aplikacji.
Oryginalny opis (angielski, źródło NVD)
Navtor NavBox allows information disclosure via the /api/ais-data endpoint. A remote, unauthenticated attacker can send crafted requests to trigger an unhandled exception, causing the server to return verbose .NET stack traces. These error messages expose internal class names, method calls, and third-party library references (e.g., System.Data.SQLite), which may assist attackers in mapping the application's internal structure.

