Krytyczna luka w Suprema BioStar 2 umożliwiająca publiczny dostęp do plików kopii zapasowych

Krytyczna luka w Suprema BioStar 2 pozwala na pobieranie kopii zapasowych bez uwierzytelnienia. Sprawdź, jak zabezpieczyć system i chronić dane.
CVE-2026-9508CVSS 10.0Web

Krytyczna luka w Suprema BioStar 2 umożliwiająca publiczny dostęp do plików kopii zapasowych

Krytyczna luka w Suprema BioStar 2 pozwala na pobieranie kopii zapasowych bez uwierzytelnienia. Sprawdź, jak zabezpieczyć system i chronić dane.

CVSS
10.0 CRITICAL
EPSS
26.07%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach 2.9.3 do 2.9.11 Suprema BioStar 2 błędnie ustawia uprawnienia do krytycznych zasobów, co pozwala na publiczny dostęp do plików kopii zapasowych, jeśli administrator skonfiguruje ich ścieżkę w katalogu webroot NGINX. Atakujący z dostępem do sieci mogą pobrać pliki ZIP bez uwierzytelnienia, narażając wrażliwe dane.

Wpływ biznesowy

Ta luka umożliwia nieautoryzowany dostęp do poufnych informacji, co może prowadzić do podszywania się pod serwer, nieuprawnionego dostępu do baz danych oraz ruchu bocznego w sieci. Organizacje korzystające z dotkniętych wersji mogą doświadczyć poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie i aktualizację oprogramowania Suprema BioStar 2 do wersji pozbawionej tej luki. W międzyczasie należy ograniczyć dostęp do katalogu kopii zapasowych, zweryfikować konfigurację NGINX oraz monitorować logi pod kątem nieautoryzowanych prób pobrania plików. Priorytetowo traktuj działania minimalizujące ekspozycję i ryzyko wycieku danych.

Źródła