CRITICAL🇬🇧 English

CVE-2025-46066

Privilege escalation w Automai Director v.25.2.0

CVSS 9.9v3.1pub. 2026-01-12upd. 2026-01-21

Podatność w Automai Director w wersji 25.2.0 umożliwia zdalnemu atakującemu z podstawowymi uprawnieniami eskalację uprawnień do wyższego poziomu dostępu. Krytyczny wynik CVSS 9.9 wskazuje na możliwość przejęcia kontroli nad systemem oraz wpływ na poufność, integralność i dostępność zasobów poza bezpośrednim zakresem aplikacji.

Pokaż oryginał (EN)

An issue in Automai Director v.25.2.0 allows a remote attacker to escalate privileges

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-280 (Improper Handling of Insufficient Permissions or Privileges) polega na nieprawidłowej obsłudze uprawnień przez aplikację. Atakujący posiadający konto z niskim poziomem uprawnień może, poprzez sieć (bez fizycznego dostępu), wywołać mechanizm eskalacji uprawnień bez interakcji ze strony innego użytkownika. Wektor ataku wskazuje na zmianę kontekstu uprawnień wykraczającą poza zakres samej aplikacji (Scope: Changed), co może oznaczać wpływ na system operacyjny lub inne komponenty środowiska.

Skutki

Atakujący może uzyskać wysokie uprawnienia w systemie, co prowadzi do pełnej utraty poufności, integralności oraz dostępności zasobów — potencjalnie z możliwością przejęcia kontroli nad systemem hosta lub innymi komponentami infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zalecany jest kontakt z producentem (automai.com) w celu uzyskania informacji o dostępnej aktualizacji. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do aplikacji oraz stosowanie zasady minimalnych uprawnień dla kont użytkowników.

Kogo dotyczy

Automai Director w wersji 25.2.0

Uwagi

Szczegółowy opis techniczny podatności dostępny jest w referencji opublikowanej przez ZeroBreach GmbH (gist.github.com/ZeroBreach-GmbH). Data publikacji CVE wskazana w metadanych to 2026-01-12.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Automai Director

    APP
    Automai
    25.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-46067HIGH8.2ten sam produkt

An issue in Automai Director v.25.2.0 allows a remote attacker to escalate privileges and obtain sensitive inf...

CVE-2025-46068HIGH8.8ten sam produkt

An issue in Automai Director v.25.2.0 allows a remote attacker to execute arbitrary code via the update mechan...

CVE-2025-46070CRITICAL9.8PL ✓ten sam vendor

RCE w Automai BotManager poprzez komponent BotManager.exe