CRITICAL🇬🇧 English

CVE-2026-2331

Nieuwierzytelniony odczyt i zapis plików przez AppEngine Fileaccess w urządzeniach SICK

CVSS 9.8v3.1pub. 2026-03-06upd. 2026-03-09

Podatność w funkcji AppEngine Fileaccess umożliwia nieuwierzytelnionemu atakującemu zdalny odczyt i modyfikację wrażliwych plików systemowych przez protokół HTTP. Brak kontroli dostępu do krytycznych katalogów systemowych stwarza ryzyko przejęcia konfiguracji urządzenia oraz wykonania dowolnego kodu.

Pokaż oryginał (EN)

An attacker may perform unauthenticated read and write operations on sensitive filesystem areas via the AppEngine Fileaccess over HTTP due to improper access restrictions. A critical filesystem directory was unintentionally exposed through the HTTP-based file access feature, allowing access without authentication. This includes device parameter files, enabling an attacker to read and modify application settings, including customer-defined passwords. Additionally, exposure of the custom application directory may allow execution of arbitrary Lua code within the sandboxed AppEngine environment.

🤖 Analiza AI
Jak działa

Funkcja dostępu do systemu plików oparta na HTTP (AppEngine Fileaccess) nieprawidłowo ogranicza dostęp do krytycznych katalogów urządzenia — katalogi te zostały niezamierzenie udostępnione bez wymogu uwierzytelnienia. Atakujący może odczytywać i modyfikować pliki parametrów urządzenia, w tym hasła zdefiniowane przez użytkownika. Ponadto ekspozycja katalogu aplikacji niestandardowych umożliwia przesyłanie i wykonanie arbitralnego kodu w języku Lua w środowisku sandbox AppEngine.

Skutki

Atakujący może bez uwierzytelnienia odczytać i zmodyfikować ustawienia aplikacji oraz hasła użytkowników, a także wykonać dowolny kod Lua w środowisku AppEngine, co może prowadzić do pełnej kompromitacji funkcjonalności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (SCA-2026-0006 dostępny pod adresem sick.com). Zaleca się również wdrożenie zaleceń z dokumentu SICK Operating Guidelines Cybersecurity, w tym ograniczenie dostępu sieciowego do urządzeń przez firewall lub segmentację sieci zgodnie z wytycznymi ICS CISA.

Kogo dotyczy

Urządzenia SICK wyposażone w funkcję AppEngine Fileaccess z dostępem przez HTTP — wersje wskazane w referencjach producenta (SCA-2026-0006)

Uwagi

Podatność dotyczy środowiska przemysłowego (ICS/OT) — producent SICK opublikował dedykowany biuletyn bezpieczeństwa SCA-2026-0006. Referencje wskazują na zastosowanie wytycznych ICS CISA jako dodatkowego środka zaradczego.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-2331 — Nieuwierzytelniony odczyt i zapis plików przez AppEngine Fileaccess w urządzeniach SICK — CRITICAL 9.8 | CVEbaza.pl