CRITICAL🇬🇧 English

CVE-2025-54347

Path Traversal w Desktop Alert PingAlert — zapis dowolnych plików

CVSS 9.9v3.1pub. 2025-11-24upd. 2025-12-05

W serwerze aplikacji Desktop Alert PingAlert (wersje 6.1.0.11–6.1.1.2) odkryto podatność typu path traversal (CWE-22), umożliwiającą uwierzytelnionemu atakującemu zapis dowolnych plików w systemie plików serwera. Podatność uzyskała ocenę krytyczną CVSS 9.9, co czyni ją poważnym zagrożeniem dla środowisk korzystających z tego oprogramowania.

Pokaż oryginał (EN)

A Directory Traversal vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 which allows an attacker to write arbitrary files under certain conditions.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji ścieżek plików po stronie serwera aplikacji. Atakujący, posiadający podstawowy dostęp do konta (niskie uprawnienia), może spreparować żądanie sieciowe zawierające sekwencje path traversal (np. '../'), które pozwalają wyjść poza dozwolony katalog i zapisać pliki w dowolnym miejscu systemu plików serwera. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani złożonych warunków wstępnych, a skutki wykraczają poza kontekst samej aplikacji (S:C — zmiana zakresu).

Skutki

Atakujący może zapisywać dowolne pliki w systemie plików serwera, co w praktyce może prowadzić do przejęcia kontroli nad serwerem, np. przez umieszczenie złośliwego kodu wykonywalnego, nadpisanie plików konfiguracyjnych lub uzyskanie trwałego dostępu (backdoor). Podatność zagraża poufności, integralności i dostępności systemu na poziomie krytycznym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/cve-2025-54347/). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do serwera aplikacji PingAlert wyłącznie do zaufanych hostów oraz wzmocnienie monitorowania nieautoryzowanych operacji zapisu plików na serwerze.

Kogo dotyczy

Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.

Uwagi

Producent Desktop Alert opublikował dedykowaną stronę dotyczącą tej podatności pod adresem https://desktopalert.net/cve-2025-54347/. Podatność dotyczy ściśle określonego zakresu wersji (6.1.0.11–6.1.1.2).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Desktopalert Pingalert Application Server

    APP
    Desktopalert
    6.1.0.11 – 6.1.1.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-54343CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Desktop Alert PingAlert — privilege escalation

CVE-2025-54339CRITICAL10.0PL ✓ten sam produkt

Błędna kontrola dostępu w Desktop Alert PingAlert — privilege escalation przez sieć

CVE-2025-54338HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54563HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54345HIGH7.5ten sam produkt

An issue was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2. Sensitive...