Podatność w Automai Director w wersji 25.2.0 umożliwia zdalnemu atakującemu z podstawowymi uprawnieniami eskalację uprawnień do wyższego poziomu dostępu. Krytyczny wynik CVSS 9.9 wskazuje na możliwość przejęcia kontroli nad systemem oraz wpływ na poufność, integralność i dostępność zasobów poza bezpośrednim zakresem aplikacji.
▸ Pokaż oryginał (EN)
An issue in Automai Director v.25.2.0 allows a remote attacker to escalate privileges
Podatność sklasyfikowana jako CWE-280 (Improper Handling of Insufficient Permissions or Privileges) polega na nieprawidłowej obsłudze uprawnień przez aplikację. Atakujący posiadający konto z niskim poziomem uprawnień może, poprzez sieć (bez fizycznego dostępu), wywołać mechanizm eskalacji uprawnień bez interakcji ze strony innego użytkownika. Wektor ataku wskazuje na zmianę kontekstu uprawnień wykraczającą poza zakres samej aplikacji (Scope: Changed), co może oznaczać wpływ na system operacyjny lub inne komponenty środowiska.
Atakujący może uzyskać wysokie uprawnienia w systemie, co prowadzi do pełnej utraty poufności, integralności oraz dostępności zasobów — potencjalnie z możliwością przejęcia kontroli nad systemem hosta lub innymi komponentami infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecany jest kontakt z producentem (automai.com) w celu uzyskania informacji o dostępnej aktualizacji. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do aplikacji oraz stosowanie zasady minimalnych uprawnień dla kont użytkowników.
Automai Director w wersji 25.2.0
Szczegółowy opis techniczny podatności dostępny jest w referencji opublikowanej przez ZeroBreach GmbH (gist.github.com/ZeroBreach-GmbH). Data publikacji CVE wskazana w metadanych to 2026-01-12.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HAutomai Director
APPAutomai25.2.0
Powiązane podatności
An issue in Automai Director v.25.2.0 allows a remote attacker to escalate privileges and obtain sensitive inf...
An issue in Automai Director v.25.2.0 allows a remote attacker to execute arbitrary code via the update mechan...
RCE w Automai BotManager poprzez komponent BotManager.exe