CRITICAL🇬🇧 English

CVE-2025-54343

Nieprawidłowa kontrola dostępu w Desktop Alert PingAlert — privilege escalation

CVSS 9.6v3.1pub. 2025-11-14upd. 2025-11-19

W serwerze aplikacji Desktop Alert PingAlert (wersje 6.1.0.11–6.1.1.2) wykryto podatność nieprawidłowej kontroli dostępu (CWE-284), umożliwiającą zdalne eskalowanie uprawnień. Podatność uzyskała ocenę CVSS 9.6 (CRITICAL), co czyni ją poważnym zagrożeniem dla organizacji korzystających z tego oprogramowania.

Pokaż oryginał (EN)

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 exploitable remotely for Escalation of Privileges.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmów kontroli dostępu w warstwie serwera aplikacji PingAlert. Uwierzytelniony zdalnie atakujący może wykorzystać tę lukę do uzyskania uprawnień wykraczających poza przyznany mu poziom dostępu. Wektor ataku sieciowy (AV:N) przy niskich wymaganiach co do uprawnień (PR:L) i bez konieczności interakcji użytkownika (UI:N) sprawia, że podatność jest stosunkowo łatwa do wyeksploitowania. Zakres podatności wykracza poza komponent, w którym wystąpił błąd (S:C), co może prowadzić do dalszego kompromitowania systemu.

Skutki

Atakujący może uzyskać nieautoryzowane podwyższenie uprawnień (privilege escalation) w systemie, a w konsekwencji uzyskać wysoki poziom dostępu do poufnych danych oraz możliwość modyfikacji zasobów objętych ochroną (C:H, I:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/CVE-2025-54343/). Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do serwera aplikacji PingAlert wyłącznie do zaufanych adresów IP oraz wzmożone monitorowanie prób logowania i zmiany uprawnień.

Kogo dotyczy

Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.

Uwagi

Podatność dotyczy wyłącznie wersji 6.1.0.11–6.1.1.2 według informacji opublikowanych przez producenta. Szczegółowe informacje techniczne dostępne są pod adresem https://desktopalert.net/CVE-2025-54343/.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Desktopalert Pingalert Application Server

    APP
    Desktopalert
    6.1.0.11 – 6.1.1.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54347CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Desktop Alert PingAlert — zapis dowolnych plików

CVE-2025-54339CRITICAL10.0PL ✓ten sam produkt

Błędna kontrola dostępu w Desktop Alert PingAlert — privilege escalation przez sieć

CVE-2025-54338HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54563HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54345HIGH7.5ten sam produkt

An issue was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2. Sensitive...