Podatność typu path traversal w systemie openSIS (wersje 8.0–9.1) pozwala nieuwierzytelnionemu atakującemu na odczyt lub zapis plików poza dozwolonym katalogiem. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
An issue in OS4ED openSIS v8.0 through v9.1 allows attackers to execute a directory traversal by sending a crafted POST request to /Modules.php?modname=messaging/Inbox.php&modfunc=save&filename.
Atakujący wysyła spreparowane żądanie HTTP POST do endpointu /Modules.php z parametrami modname=messaging/Inbox.php, modfunc=save oraz filename zawierającym sekwencje path traversal (np. ../). Aplikacja nie waliduje poprawnie wartości parametru filename, co umożliwia wyjście poza dozwolony katalog i uzyskanie dostępu do arbitralnych plików systemu operacyjnego. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika, a jego przeprowadzenie jest możliwe zdalnie przez sieć.
Atakujący może odczytywać, nadpisywać lub tworzyć dowolne pliki dostępne dla procesu aplikacji webowej, co może prowadzić do ujawnienia danych konfiguracyjnych, kradzieży poświadczeń lub wykonania złośliwego kodu na serwerze.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Repozytorium producenta dostępne jest pod adresem: https://github.com/OS4ED/openSIS-Classic. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do instancji openSIS wyłącznie do zaufanych adresów IP oraz monitorowanie żądań do endpointu /Modules.php pod kątem anomalnych wartości parametru filename.
Os4Ed openSIS w wersjach od 8.0 do 9.1 włącznie.
Szczegóły techniczne podatności zostały opublikowane w repozytorium badacza: https://github.com/esusalla/vulnerability-research/tree/main/CVE-2025-22926
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HOs4ed Opensis
APPOs4Ed8.0 – 9.1
Powiązane podatności
SQL Injection w OpenSIS via parametry student_id i TRANSFER[SCHOOL]
SQL Injection w Os4Ed openSIS — parametr filter_id
Path traversal w openSIS — nieautoryzowany dostęp do plików przez Modules.php
SQL Injection w OS4ED openSIS — parametr cp_id w module wiadomości
SQL injection w OS4Ed openSIS via parametr groupid w Group.php