CRITICAL🇬🇧 English

CVE-2025-14306

Path Traversal w Robocode CacheCleaner — usuwanie dowolnych plików

CVSS 10.0v4.0pub. 2025-12-09upd. 2026-01-28

W komponencie CacheCleaner aplikacji Robocode 1.9.3.6 wykryto podatność typu path traversal, która umożliwia atakującemu usunięcie dowolnych plików w systemie. Ze względu na brak walidacji ścieżek i maksymalny wynik CVSS 10.0, stanowi ona poważne zagrożenie dla integralności danych.

Pokaż oryginał (EN)

A directory traversal vulnerability exists in the CacheCleaner component of Robocode version 1.9.3.6. The recursivelyDelete method fails to properly sanitize file paths, allowing attackers to traverse directories and delete arbitrary files on the system. This vulnerability can be exploited by submitting specially crafted inputs that manipulate the file path, leading to potential unauthorized file deletions. https://robo-code.blogspot.com/

🤖 Analiza AI
Jak działa

Metoda recursivelyDelete w komponencie CacheCleaner nie przeprowadza właściwej sanityzacji ścieżek plików (CWE-22). Atakujący może dostarczyć specjalnie spreparowane dane wejściowe zawierające sekwencje przejścia katalogów (np. '../'), które powodują wyjście poza zamierzony katalog roboczy. W rezultacie metoda wykonuje operację usunięcia na plikach wskazanych przez zmanipulowaną ścieżkę, niezależnie od ich lokalizacji w systemie plików.

Skutki

Atakujący może nieautoryzowanie usuwać dowolne pliki dostępne w kontekście uprawnień aplikacji, co może prowadzić do utraty danych, destabilizacji systemu lub zakłócenia działania innych usług.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — poprawka dostępna w repozytorium GitHub projektu Robocode (pull request #67, commit 26b6ba8ed5b2a11a646ce2d5da8d42cd53574b1f).

Kogo dotyczy

Robocode w wersji 1.9.3.6

Uwagi

Podatność opublikowana 2025-12-09. Poprawka została wprowadzona poprzez commit 26b6ba8ed5b2a11a646ce2d5da8d42cd53574b1f w oficjalnym repozytorium GitHub robo-code/robocode.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:Y/R:U/V:D/RE:M/U:Red
  • Robocode

    APP
    Robocode
    1.9.3.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-14307CRITICAL9.3PL ✓ten sam produkt

Robocode: podatność race condition przy tworzeniu plików tymczasowych (RCE)

CVE-2025-14308CRITICAL10.0PL ✓ten sam produkt

Integer overflow w klasie Buffer Robocode umożliwiający RCE

CVE-2019-10648CRITICAL9.8ten sam produkt

Robocode through 1.9.3.5 allows remote attackers to cause external service interaction (DNS), as demonstrated ...

CVE-2008-2078HIGH7.5ten sam produkt

Robocode before 1.6.0 allows user-assisted remote attackers to "access the internals of the Robocode game" via...

CVE-2007-6382MEDIUM6.8ten sam produkt

The Event Dispatch Thread in Robocode before 1.5.1 allows remote attackers to execute arbitrary Java code by u...