CVE-2026-9774
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 64 — wyżej niż 64% wszystkich znanych CVE
Streszczenie
Podatność w metodzie updateLicense oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną osobę do usunięcia dowolnych plików w systemie. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach.
Ocena ryzyka
Atakujący może usunąć krytyczne pliki systemowe, co prowadzi do przerwania działania usługi (denial-of-service) lub destabilizacji całego systemu.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie ATEN Unizon do najnowszej wersji, która zawiera poprawkę usuwającą tę lukę. Do czasu aktualizacji ograniczyć dostęp do interfejsu administracyjnego tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
ATEN Unizon updateLicense Directory Traversal Arbitrary File Deletion Vulnerability. This vulnerability allows remote attackers to delete arbitrary files on affected installations of ATEN Unizon. Authentication is required to exploit this vulnerability. The specific flaw exists within the updateLicense method. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to delete files or create a denial-of-service condition on the system. Was ZDI-CAN-28502.

