CRITICAL🇬🇧 English

CVE-2026-25785

Path Traversal w Motex Lanscope Endpoint Manager umożliwia RCE

CVSS 9.3v4.0pub. 2026-02-25upd. 2026-02-27

W komponencie Sub-Manager Server produktu Lanscope Endpoint Manager (wersja On-Premises) wykryto podatność typu path traversal. Luka umożliwia nieuwierzytelnionemu atakującemu zdalne zmodyfikowanie dowolnych plików i wykonanie arbitralnego kodu na zaatakowanym systemie.

Pokaż oryginał (EN)

Path traversal vulnerability exists in Lanscope Endpoint Manager (On-Premises) Sub-Manager Server Ver.9.4.7.3 and earlier, which may allow an attacker to tamper with arbitrary files and execute arbitrary code on the affected system.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji ścieżek plików w komponencie Sub-Manager Server (CWE-22 — path traversal). Atakujący może wysłać spreparowane żądanie sieciowe zawierające sekwencje katalogowe (np. '../'), co pozwala wyjść poza dozwolony katalog roboczy i uzyskać dostęp do dowolnych plików systemu operacyjnego. Dzięki możliwości modyfikacji tych plików możliwe jest następnie wykonanie arbitralnego kodu (RCE) na serwerze.

Skutki

Atakujący bez jakiegokolwiek uwierzytelnienia może zmodyfikować dowolne pliki na serwerze oraz wykonać na nim arbitralny kod, co może prowadzić do pełnego przejęcia kontroli nad systemem.

Mitygacja

Należy zaktualizować Sub-Manager Server do wersji nowszej niż 9.4.7.3, stosując patche dostępne u producenta zgodnie z informacjami opublikowanymi przez Motex pod adresem https://www.motex.co.jp/news/notice/2026/release260225/ oraz w biuletynie JVN#79096585.

Kogo dotyczy

Motex Lanscope Endpoint Manager (On-Premises) — Sub-Manager Server w wersji 9.4.7.3 i wcześniejszych

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Motex Lanscope Endpoint Manager

    APP
    Motex
    < 9.4.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-61932CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE w Motex Lanscope Endpoint Manager — brak weryfikacji źródła żądań

CVE-2019-6026HIGH7.8ten sam vendor

Privilege escalation vulnerability in Multiple MOTEX products (LanScope Cat client program (MR) and LanScope C...