CRITICAL🇬🇧 English

CVE-2025-14988

Nieprawidłowe uprawnienia do plików w ibaPDA umożliwiają nieautoryzowane operacje

CVSS 10.0v4.0pub. 2026-01-27upd. 2026-04-15

W oprogramowaniu ibaPDA wykryto krytyczną podatność związaną z nieprawidłową konfiguracją uprawnień do systemu plików (CWE-732). Luka umożliwia nieautoryzowanym użytkownikom wykonywanie operacji na systemie plików, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.

Pokaż oryginał (EN)

A security issue has been identified in ibaPDA that could allow unauthorized actions on the file system under certain conditions. This may impact the confidentiality, integrity, or availability of the system.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowo skonfigurowanych uprawnień do zasobów systemu plików (CWE-732 — Incorrect Permission Assignment for Critical Resource). Przy spełnieniu określonych warunków atakujący nieuwierzytelniony zdalnie może uzyskać dostęp do chronionych zasobów systemu plików i wykonywać na nich nieautoryzowane działania. Brak wymagań dotyczących uwierzytelnienia, interakcji użytkownika oraz niskie wymagania co do warunków ataku (AC:L, AT:N, PR:N, UI:N) sprawiają, że podatność jest wyjątkowo łatwa do wykorzystania.

Skutki

Atakujący może naruszać poufność, integralność oraz dostępność systemu poprzez nieautoryzowany odczyt, modyfikację lub usuwanie plików — w tym potencjalnie krytycznych danych procesowych i konfiguracyjnych systemu przemysłowego. Ze względu na wysoki wpływ zarówno na system lokalny, jak i systemy zależne (SC:H, SI:H, SA:H), skutki mogą obejmować zakłócenie działania instalacji przemysłowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierającch poprawkę dostępne są w doradztwie CISA ICS-CERT pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-26-027-01

Kogo dotyczy

Oprogramowanie ibaPDA — wersje wskazane w referencjach producenta (doradztwo ICS-CERT ICSA-26-027-01)

Uwagi

Podatność dotyczy systemu klasy ICS/SCADA (ibaPDA), stosowanego w środowiskach przemysłowych. Doradztwo zostało opublikowane przez CISA w ramach serii ICS Advisories (ICSA-26-027-01). Maksymalny wynik CVSS 4.0 wynosi 10.0, jednak brak potwierdzenia aktywnego wykorzystania w środowisku produkcyjnym.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje