CRITICAL🇬🇧 English

CVE-2025-12059

Ujawnienie wrażliwych danych przez błędną konfigurację plików w Logo j-Platform

CVSS 9.8v3.1pub. 2026-02-11upd. 2026-06-04

Podatność w Logo j-Platform pozwala nieuwierzytelnionemu atakującemu na dostęp do wrażliwych informacji zapisanych w plikach lub katalogach dostępnych zewnętrznie. Ocena CVSS 9.8 wskazuje na krytyczne ryzyko naruszenia poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Insertion of Sensitive Information into Externally-Accessible File or Directory vulnerability in Logo Software Industry and Trade Inc. Logo j-Platform allows Exploiting Incorrectly Configured Access Control Security Levels. This issue affects Logo j-Platform: from 3.29.6.4 before 3.34.8.9.

🤖 Analiza AI
Jak działa

Błąd klasy CWE-538 polega na tym, że aplikacja Logo j-Platform zapisuje wrażliwe dane (np. poświadczenia, tokeny, dane konfiguracyjne) w plikach lub katalogach dostępnych z zewnątrz bez odpowiednich kontroli dostępu. Atakujący może wykorzystać nieprawidłowo skonfigurowane poziomy bezpieczeństwa kontroli dostępu, aby odczytać lub zmodyfikować te dane bez konieczności uwierzytelnienia. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji użytkownika, co czyni eksploatację wyjątkowo łatwą.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wrażliwych informacji przechowywanych w systemie, a także potencjalnie zmodyfikować dane lub zakłócić działanie aplikacji, co skutkuje pełnym naruszeniem poufności, integralności i dostępności.

Mitygacja

Należy zaktualizować Logo j-Platform do wersji 3.34.8.9 lub nowszej. Szczegółowe informacje dostępne są w komunikacie bezpieczeństwa producenta pod adresem: https://siberguvenlik.gov.tr/guvenlik-bildirimleri/detay/tr-26-0061 oraz https://www.usom.gov.tr/bildirim/tr-26-0061

Kogo dotyczy

Logo j-Platform w wersjach od 3.29.6.4 do 3.34.8.9 (nie włączając 3.34.8.9) — produkt firmy Logo Software Industry and Trade Inc.

Uwagi

Podatność została zgłoszona przez tureckie centrum reagowania na incydenty USOM (TR-26-0061). Produkt Logo j-Platform jest platformą ERP/biznesową, stosowaną głównie na rynku tureckim.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje