W oprogramowaniu Delta Electronics DIALink wykryto krytyczną podatność path traversal pozwalającą na ominięcie mechanizmu uwierzytelnienia. Luka uzyskała maksymalny wynik CVSS 10.0, co oznacza, że nieuwierzytelniony atakujący zdalnie i bez interakcji użytkownika może przejąć pełną kontrolę nad systemem.
▸ Pokaż oryginał (EN)
Delta Electronics DIALink has an Directory Traversal Authentication Bypass Vulnerability.
Podatność sklasyfikowana jako CWE-22 (path traversal) umożliwia atakującemu spreparowanie żądania sieciowego zawierającego sekwencje nawigacji po ścieżkach katalogów (np. '../'), które pozwalają na dostęp do zasobów poza dozwolonym obszarem aplikacji. W efekcie mechanizm uwierzytelnienia zostaje ominięty — atakujący uzyskuje nieautoryzowany dostęp bez podawania poprawnych danych logowania. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony ofiary, a zakres oddziaływania wykracza poza samą aplikację (Scope: Changed).
Skuteczne wykorzystanie podatności pozwala atakującemu na pełne naruszenie poufności, integralności i dostępności systemu — może odczytywać, modyfikować lub niszczyć dane oraz zakłócać działanie usługi bez żadnego wcześniejszego uwierzytelnienia.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — biuletyn bezpieczeństwa Delta Electronics dostępny pod adresem wskazanym w referencjach (Delta-PCSA-2025-00016). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do systemu DIALink wyłącznie do zaufanych hostów oraz izolację systemu za firewallem.
Delta Electronics DIALink — wersje wskazane w referencjach producenta (biuletyn Delta-PCSA-2025-00016)
Podatność opisana w oficjalnym biuletynie producenta Delta-PCSA-2025-00016. Maksymalny wynik CVSS 10.0 przy braku wpisu w CISA KEV uzasadnia pilne działania naprawcze po stronie użytkowników oprogramowania DIALink.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HDeltaww Dialink
APPDeltaww< 1.8.0.0
Powiązane podatności
Delta Industrial Automation DIALink versions 1.4.0.0 and prior are vulnerable to the use of a hard-coded crypt...
Delta Electronics DIALink has an Directory Traversal Authentication Bypass Vulnerability.
Delta Industrial Automation DIALink versions prior to v1.5.0.0 Beta 4 uses an external input to construct a pa...
Delta Electronics DIALink versions 1.2.4.0 and prior stores sensitive information in cleartext, which may allo...
Delta Electronics DIALink versions 1.2.4.0 and prior runs by default on HTTP, which may allow an attacker to b...