Podatność typu path traversal w Samsung MagicINFO 9 Server umożliwia nieuwierzytelnionemu atakującemu zapis dowolnych plików z uprawnieniami systemowymi. Ze względu na brak wymagań dotyczących uwierzytelnienia oraz pełnię uzyskiwanych uprawnień, podatność jest oceniona jako krytyczna (CVSS 9.8) i jest aktywnie wykorzystywana w środowiskach produkcyjnych.
▸ Pokaż oryginał (EN)
Improper limitation of a pathname to a restricted directory vulnerability in Samsung MagicINFO 9 Server version before 21.1052 allows attackers to write arbitrary file as system authority.
Serwer Samsung MagicINFO 9 nie nakłada prawidłowych ograniczeń na ścieżki plików podawane przez użytkownika, co umożliwia wyjście poza dozwolony katalog (path traversal). Atakujący, bez jakiegokolwiek uwierzytelnienia, może przesłać spreparowane żądanie sieciowe wskazujące dowolną lokalizację w systemie plików serwera. W efekcie możliwy jest zapis dowolnej treści w dowolnym miejscu systemu plików z uprawnieniami konta systemowego (SYSTEM authority).
Atakujący może zapisać dowolne pliki z uprawnieniami systemowymi, co w praktyce umożliwia zdalne przejęcie pełnej kontroli nad serwerem — np. poprzez wgranie webshella, nadpisanie plików konfiguracyjnych lub binarnych. Możliwe jest uzyskanie pełnego dostępu do zasobów systemu, naruszenie poufności i integralności danych oraz trwałe przejęcie serwera.
Należy niezwłocznie zaktualizować Samsung MagicINFO 9 Server do wersji 21.1052 lub nowszej zgodnie z informacjami producenta dostępnymi pod adresem: https://security.samsungtv.com/securityUpdates#SVP-MAY-2025. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do serwera MagicINFO wyłącznie do zaufanych hostów oraz monitorowanie logów pod kątem podejrzanych żądań zawierających sekwencje path traversal.
Samsung MagicINFO 9 Server w wersjach wcześniejszych niż 21.1052
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities — CISA potwierdza aktywne wykorzystywanie tej luki w środowiskach produkcyjnych. Data publikacji biuletynu bezpieczeństwa przez Samsung: maj 2025.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSamsung Magicinfo 9 Server
APPSamsung< 21.1052.0
CISA KEV — szczegółyi
- Dostawcai
- Samsung
- Produkti
- MagicINFO 9 Server
- Data dodania do KEVi
- 22 maja 2025
- Termin remediation (USA)i
- 12 czerwca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych, lub przerwij użytkowanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Samsung MagicINFO 9 Server zawiera luki w ścieżce dostępu, która umożliwia atakującemu zapis dowolnego pliku z uprawnieniami systemu.
▸ Pokaż oryginał (EN)
Samsung MagicINFO 9 Server contains a path traversal vulnerability that allows an attacker to write arbitrary file as system authority.
Powiązane podatności
Zakodowane na stałe dane logowania do bazy danych w Samsung MagicINFO 9 Server
Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML
Path Traversal w Samsung MagicINFO 9 Server umożliwia upload Web Shell
Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell
Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection