Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwiająca zdalne wykonanie kodu
Krytyczna luka w Eclipse BaSyx Java Server SDK umożliwia zdalne wykonanie kodu przez atak path traversal. Zalecane szybkie aktualizacje i monitorowanie systemu.
- CVSS
- 10.0 CRITICAL
- EPSS
- 88.32%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach Eclipse BaSyx Java Server SDK przed 2.0.0-milestone-10 występuje luka w normalizacji ścieżek w Submodel HTTP API, pozwalająca nieautoryzowanemu atakującemu na atak typu path traversal. Poprzez złośliwie spreparowany parametr fileName podczas przesyłania pliku można zapisać dowolne pliki w systemie, co może prowadzić do zdalnego wykonania kodu i pełnego przejęcia systemu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa systemów korzystających z podatnych wersji Eclipse BaSyx Java Server SDK. Atakujący może uzyskać pełną kontrolę nad serwerem, co może skutkować utratą danych, przerwami w działaniu usług oraz naruszeniem integralności i poufności systemu. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej zaadresowania.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy Eclipse BaSyx Java Server SDK i ich wdrożenie. W międzyczasie warto ograniczyć dostęp do interfejsu Submodel HTTP API, monitorować logi pod kątem podejrzanych operacji przesyłania plików oraz przeprowadzić audyt uprawnień procesu Java, aby zminimalizować potencjalne skutki ataku.