CRITICAL🇬🇧 English

CVE-2025-70046

Inclusion of Functionality from Untrusted Control Sphere w Miazzy oa-front-service

CVSS 9.8v3.1pub. 2026-03-09upd. 2026-03-13

W projekcie Miazzy oa-front-service (gałąź master) wykryto krytyczną podatność sklasyfikowaną jako CWE-829, polegającą na dołączaniu funkcjonalności z niezaufanej sfery kontroli. Podatność uzyskała ocenę CVSS 9.8, co czyni ją ekstremalnie niebezpieczną i możliwą do zdalnego wykorzystania bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

An issue pertaining to CWE-829: Inclusion of Functionality from Untrusted Control Sphere was discovered in Miazzy oa-front-service master.

🤖 Analiza AI
Jak działa

Podatność typu CWE-829 (Inclusion of Functionality from Untrusted Control Sphere) polega na tym, że aplikacja pobiera i wykonuje kod lub zasoby z zewnętrznych, niezaufanych źródeł bez odpowiedniej weryfikacji ich integralności lub pochodzenia. Atakujący może wpłynąć na to, jaki kod zostanie załadowany przez aplikację, podstawiając własną, złośliwą funkcjonalność. Wektor ataku jest sieciowy (AV:N), nie wymaga uwierzytelnienia (PR:N) ani interakcji ze strony użytkownika (UI:N), co oznacza możliwość w pełni zdalnego i automatycznego wykorzystania.

Skutki

Pomyślne wykorzystanie podatności może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — atakujący może uzyskać nieautoryzowany dostęp do danych, zmodyfikować zawartość aplikacji lub doprowadzić do jej niedostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium projektu pod adresem https://github.com/Miazzy/oa-front-service oraz analizę wskazanego proof-of-concept pod adresem https://gist.github.com/zcxlighthouse/a29d9de46c4eac2de5c4d5a7b6c6c532 w celu oceny zagrożenia i wdrożenia odpowiednich środków zaradczych.

Kogo dotyczy

Miazzy oa-front-service, gałąź master (konkretne wersje wskazane w referencjach producenta)

Uwagi

Podatność dotyczy gałęzi master repozytorium — projekt może nie posiadać oficjalnych wydań wersjonowanych, co utrudnia określenie zakresu wdrożeń. Publiczne referencje wskazują na dostępność proof-of-concept na platformie GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Miazzy Oa Font Service

    APP
    Miazzy
    master
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje