CRITICAL✓ PATCH🇬🇧 English

CVE-2025-54440

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection

CVSS 9.8v3.1pub. 2025-07-23upd. 2025-07-30

Krytyczna podatność w Samsung MagicINFO 9 Server pozwala nieuwierzytelnionemu atakującemu na wgranie pliku niebezpiecznego typu, co prowadzi do wykonania złośliwego kodu na serwerze. Brak jakichkolwiek wymagań dotyczących uwierzytelnienia lub interakcji użytkownika czyni tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Samsung Electronics MagicINFO 9 Server allows Code Injection.This issue affects MagicINFO 9 Server: less than 21.1080.0.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-434 (Unrestricted Upload of File with Dangerous Type) wynika z braku odpowiedniej walidacji typów przesyłanych plików w Samsung MagicINFO 9 Server. Atakujący może przesłać plik zawierający złośliwy kod (np. webshell lub inny wykonywalny payload) bez konieczności posiadania uprawnień ani interakcji ze strony ofiary. Po wgraniu pliku serwer może go przetworzyć lub uruchomić, co skutkuje wykonaniem dowolnego kodu w kontekście aplikacji.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu pełne przejęcie kontroli nad serwerem, w tym odczyt i modyfikację danych (poufność, integralność) oraz potencjalne uniemożliwienie działania usługi (dostępność). Podatność może prowadzić do głębszej kompromitacji infrastruktury sieciowej.

Mitygacja

Należy niezwłocznie zaktualizować Samsung MagicINFO 9 Server do wersji 21.1080.0 lub nowszej. Szczegółowe informacje o patchu dostępne są pod adresem https://security.samsungtv.com/securityUpdates. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu serwera wyłącznie do zaufanych hostów oraz monitorowanie podejrzanej aktywności związanej z przesyłaniem plików.

Kogo dotyczy

Samsung MagicINFO 9 Server w wersjach wcześniejszych niż 21.1080.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Samsung Magicinfo 9 Server

    APP
    Samsung
    < 21.1080.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-4632CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server — zapis plików jako SYSTEM

CVE-2026-25200CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML

CVE-2026-25202CRITICAL9.8PL ✓ten sam produkt

Zakodowane na stałe dane logowania do bazy danych w Samsung MagicINFO 9 Server

CVE-2025-54438CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell

CVE-2025-54442CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection