W serwerze aplikacji Desktop Alert PingAlert (wersje 6.1.0.11–6.1.1.2) odkryto podatność typu path traversal (CWE-22), umożliwiającą uwierzytelnionemu atakującemu zapis dowolnych plików w systemie plików serwera. Podatność uzyskała ocenę krytyczną CVSS 9.9, co czyni ją poważnym zagrożeniem dla środowisk korzystających z tego oprogramowania.
▸ Pokaż oryginał (EN)
A Directory Traversal vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 which allows an attacker to write arbitrary files under certain conditions.
Podatność wynika z nieprawidłowej walidacji ścieżek plików po stronie serwera aplikacji. Atakujący, posiadający podstawowy dostęp do konta (niskie uprawnienia), może spreparować żądanie sieciowe zawierające sekwencje path traversal (np. '../'), które pozwalają wyjść poza dozwolony katalog i zapisać pliki w dowolnym miejscu systemu plików serwera. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani złożonych warunków wstępnych, a skutki wykraczają poza kontekst samej aplikacji (S:C — zmiana zakresu).
Atakujący może zapisywać dowolne pliki w systemie plików serwera, co w praktyce może prowadzić do przejęcia kontroli nad serwerem, np. przez umieszczenie złośliwego kodu wykonywalnego, nadpisanie plików konfiguracyjnych lub uzyskanie trwałego dostępu (backdoor). Podatność zagraża poufności, integralności i dostępności systemu na poziomie krytycznym.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/cve-2025-54347/). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do serwera aplikacji PingAlert wyłącznie do zaufanych hostów oraz wzmocnienie monitorowania nieautoryzowanych operacji zapisu plików na serwerze.
Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.
Producent Desktop Alert opublikował dedykowaną stronę dotyczącą tej podatności pod adresem https://desktopalert.net/cve-2025-54347/. Podatność dotyczy ściśle określonego zakresu wersji (6.1.0.11–6.1.1.2).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HDesktopalert Pingalert Application Server
APPDesktopalert6.1.0.11 – 6.1.1.6 (bez)
Powiązane podatności
Nieprawidłowa kontrola dostępu w Desktop Alert PingAlert — privilege escalation
Błędna kontrola dostępu w Desktop Alert PingAlert — privilege escalation przez sieć
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
An issue was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2. Sensitive...