CRITICAL🇬🇧 English

CVE-2025-10363

RCE poprzez deserializację w Topal Finanzbuchhaltung (CVSS 10.0)

CVSS 10.0v4.0pub. 2025-10-06upd. 2026-04-15

Krytyczna podatność na deserializację niezaufanych danych (CWE-502) w oprogramowaniu Topal Finanzbuchhaltung firmy Topal Solutions AG umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE). Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie groźną dla każdej organizacji korzystającej z tego produktu.

Pokaż oryginał (EN)

Deserialization of Untrusted Data vulnerability in Topal Solutions AG Topal Finanzbuchhaltung on Windows allows Remote Code Execution.This issue affects at least Topal Finanzbuchhaltung: 10.1.5.20 and is fixed in version 11.2.12.00

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowego przetwarzania (deserializacji) danych pochodzących z niezaufanego źródła. Atakujący może przesłać spreparowany payload przez sieć bez konieczności uwierzytelnienia się w systemie. Serwer aplikacji deserializuje złośliwe dane, co prowadzi do wykonania dowolnego kodu w kontekście procesu aplikacji działającej w systemie Windows.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa Topal Finanzbuchhaltung, wykonując dowolny kod bez żadnych uprawnień wstępnych. Ze względu na maksymalny wynik CVSS podatność zagraża poufności, integralności i dostępności zarówno systemu docelowego, jak i systemów z nim powiązanych.

Mitygacja

Należy niezwłocznie zaktualizować Topal Finanzbuchhaltung do wersji 11.2.12.00 lub nowszej, w której producent usunął podatność. Szczegółowe informacje o wydaniu dostępne są w oficjalnych release notes producenta oraz w adwizore bezpieczeństwa opublikowanym przez infoguard.ch.

Kogo dotyczy

Topal Finanzbuchhaltung w wersji co najmniej 10.1.5.20 i wcześniejszych działający na systemie Windows. Podatność jest usunięta w wersji 11.2.12.00.

Uwagi

Według opisu podatność dotyczy 'co najmniej' wersji 10.1.5.20, co sugeruje, że mogą być nią dotknięte również starsze wersje produktu. Publiczne advisory techniczne zostało opublikowane przez labs.infoguard.ch.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje
CVE-2025-10363 — RCE poprzez deserializację w Topal Finanzbuchhaltung (CVSS 10.0) — CRITICAL 10.0 | CVEbaza.pl