CVE-2026-53906
ŚrednieCVSS 5.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Podatność w MCO umożliwia ujawnienie ścieżki i traversal ścieżki w funkcjonalności obsługi plików związanej z eksportem i przesyłaniem danych. Niewłaściwa walidacja parametru nazwy pliku pozwala na zapisywanie plików w dowolnych lokalizacjach oraz pośrednie ujawnienie bezwzględnych ścieżek serwera poprzez komunikaty błędów.
Ocena ryzyka
Atakujący może uzyskać dostęp do poufnych informacji o strukturze systemu plików serwera oraz zapisać złośliwe pliki w dowolnych lokalizacjach, co może prowadzić do eskalacji uprawnień lub uruchomienia dowolnego kodu.
Rekomendacja
Zaleca się natychmiastową aktualizację do najnowszej dostępnej wersji MCO, jeśli jest dostępna, lub zastosowanie tymczasowych zabezpieczeń, takich jak ścisła walidacja parametru nazwy pliku po stronie serwera.
Oryginalny opis (angielski, źródło NVD)
MCO is vulnerable to Path Disclosure and Path Traversal in file handling functionality related to data export and upload. Improper validation of the filename parameter allows writing files to arbitrary locations as well as indirect disclosure of absolute server paths through error messages. Because vendor contact attempts were unsuccessful, the vulnerability has only been confirmed in version 25.3.3.1 but may also affect other versions.

