CRITICAL🇬🇧 English

CVE-2026-0963

Path Traversal umożliwiający RCE w Crafty Controller (File Operations API)

CVSS 9.9v3.1pub. 2026-01-30upd. 2026-02-26

Podatność typu path traversal w komponencie File Operations API Endpoint aplikacji Crafty Controller umożliwia zdalnemu, uwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Ze względu na wysoki wynik CVSS (9.9) oraz zakres podatności wykraczający poza granice komponentu (Scope: Changed), zagrożenie jest krytyczne.

Pokaż oryginał (EN)

An input neutralization vulnerability in the File Operations API Endpoint component of Crafty Controller allows a remote, authenticated attacker to perform file tampering and remote code execution via path traversal.

🤖 Analiza AI
Jak działa

Komponent File Operations API Endpoint nie neutralizuje poprawnie danych wejściowych zawierających sekwencje path traversal (np. '../'). Atakujący, posiadając jedynie podstawowe uwierzytelnienie, może za pomocą spreparowanego żądania sieciowego wyjść poza dozwolony katalog i uzyskać dostęp do dowolnych plików systemowych. Poprzez modyfikację lub podmiankę plików (file tampering) możliwe jest ostateczne osiągnięcie zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.

Skutki

Atakujący może odczytywać, modyfikować lub nadpisywać dowolne pliki dostępne dla procesu aplikacji, co w konsekwencji prowadzi do pełnego przejęcia kontroli nad serwerem poprzez zdalne wykonanie kodu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://gitlab.com/crafty-controller/crafty-4/-/issues/660). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do API wyłącznie do zaufanych, uwierzytelnionych użytkowników oraz monitorowanie logów pod kątem podejrzanych żądań do endpointów File Operations.

Kogo dotyczy

Craftycontrol Crafty Controller — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L
  • Craftycontrol Crafty Controller

    APP
    Craftycontrol
    4.7.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-5652CRITICAL9.0PL ✓ten sam produkt

IDOR w Crafty Controller — nieautoryzowana modyfikacja kont użytkowników

CVE-2025-14700CRITICAL9.9PL ✓ten sam produkt

RCE przez Server Side Template Injection w Crafty Controller (Webhook Template)

CVE-2026-0805HIGH8.2ten sam produkt

An input neutralization vulnerability in the Backup Configuration component of Crafty Controller allows a remo...

CVE-2025-14701HIGH7.1ten sam produkt

An input neutralization vulnerability in the Server MOTD component of Crafty Controller allows a remote, unaut...

CVE-2025-5990HIGH7.6ten sam produkt

An input neutralization vulnerability in the Server Name form and API Key form components of Crafty Controller...