Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwia zdalne wykonanie kodu przez atak path traversal. Zalecane szybkie aktualizacje i monitorowanie systemu.
CVE-2026-7411CVSS 10.0General

Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwia zdalne wykonanie kodu przez atak path traversal. Zalecane szybkie aktualizacje i monitorowanie systemu.

CVSS
10.0 CRITICAL
EPSS
88.32%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Eclipse BaSyx Java Server SDK przed 2.0.0-milestone-10 występuje luka w normalizacji ścieżek w Submodel HTTP API, pozwalająca nieautoryzowanemu atakującemu na atak typu path traversal. Poprzez złośliwie spreparowany parametr fileName podczas przesyłania pliku można zapisać dowolne pliki w systemie, co może prowadzić do zdalnego wykonania kodu i pełnego przejęcia systemu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z podatnych wersji Eclipse BaSyx Java Server SDK. Atakujący może uzyskać pełną kontrolę nad serwerem, co może skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności i poufności systemu. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Eclipse BaSyx Java Server SDK i ich wdrożenie. W międzyczasie warto ograniczyć dostęp do interfejsu Submodel HTTP API, monitorować logi pod kątem podejrzanych operacji przesyłania plików oraz przeprowadzić audyt uprawnień procesu Java, aby zminimalizować potencjalne skutki ataku.

Źródła