Podatność typu path traversal w produkcie airleader MASTER firmy WF Steuerungstechnik GmbH umożliwia nieuwierzytelnionemu atakującemu zdalne odczytanie osadzonych danych wrażliwych. Ocena CVSS 9.2 (CRITICAL) wskazuje na wysokie ryzyko naruszenia poufności systemu i środowisk z nim powiązanych.
▸ Pokaż oryginał (EN)
Path Traversal vulnerability in WF Steuerungstechnik GmbH airleader MASTER allows Retrieve Embedded Sensitive Data.This issue affects airleader MASTER: 3.0046.
Podatność wynika z nieprawidłowej obsługi ścieżek plików (CWE-35 — path traversal), co pozwala atakującemu na wyjście poza dozwolony katalog poprzez manipulację odwołaniami do plików zawierającymi sekwencje typu '../'. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych — wystarczy dostęp sieciowy do podatnego urządzenia. W efekcie możliwe jest odczytanie osadzonych danych wrażliwych (embedded sensitive data) przechowywanych w systemie.
Atakujący może bez uwierzytelnienia uzyskać dostęp do wrażliwych danych przechowywanych na urządzeniu, a w przypadku naruszenia danych z systemów powiązanych — skutki mogą obejmować również środowiska zewnętrzne.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do urządzenia wyłącznie do zaufanych hostów oraz monitorowanie nieautoryzowanych prób dostępu do zasobów systemu.
WF Steuerungstechnik GmbH airleader MASTER w wersji 3.0046
Szczegółowy opis techniczny podatności dostępny jest w opublikowanym security advisory pod adresem wskazanym w referencjach (msec-2025-004, opublikowane przez zespół Migros Security).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X