CVE-2026-35718
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 50 - wyżej niż 50% wszystkich znanych CVE
Streszczenie
Podatność polegająca na przechodzeniu do dowolnych ścieżek w punkcie końcowym /admin/downloadMedias.cgi w oprogramowaniu sprzętowym FD8136-VVTK firmy VIVOTEK INC (wersja 0300a) umożliwia uwierzytelnionym atakującym odczyt dowolnego pliku na urządzeniu poprzez wysłanie spreparowanego żądania.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego odczytu wrażliwych plików systemowych, konfiguracyjnych lub danych użytkownika, co może prowadzić do wycieku informacji i dalszej eskalacji ataku.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania sprzętowego do najnowszej wersji oraz ograniczenie dostępu do panelu administracyjnego tylko dla zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability in the /admin/downloadMedias.cgi endpoint of VIVOTEK INC FD8136-VVTK firmware 0300a allows authenticated attackers to read any file on the device via sending a crafted request.

