CVE-2026-9777
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 71 — wyżej niż 71% wszystkich znanych CVE
Streszczenie
Podatność typu directory traversal w metodzie restoreDB oprogramowania ATEN Unizon umożliwia zdalne wykonanie kodu. Luka wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach. Atak wymaga uwierzytelnienia, ale pozwala na wykonanie kodu w kontekście systemu SYSTEM.
Ocena ryzyka
Organizacja narażona jest na całkowite przejęcie kontroli nad systemem przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub zakłócenia działania usług.
Rekomendacja
Należy niezwłocznie zastosować aktualizację dostarczoną przez producenta ATEN dla oprogramowania Unizon. Do czasu jej wdrożenia ograniczyć dostęp do systemu tylko dla zaufanych użytkowników i monitorować aktywność w metodzie restoreDB.
Oryginalny opis (angielski, źródło NVD)
ATEN Unizon restoreDB Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of ATEN Unizon. Authentication is required to exploit this vulnerability. The specific flaw exists within the restoreDB method. The issue results from the lack of proper validation of a user-supplied path prior to using it in file operations. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-28578.

