CRITICAL🇬🇧 English

CVE-2025-3322

Podatność RCE poprzez brak neutralizacji danych w expression language (B. Braun)

CVSS 10.0v4.0pub. 2025-06-06upd. 2026-04-15

Podatność klasy CWE-917 w produktach B. Braun umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia, z najwyższymi uprawnieniami na serwerze. Otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako podatność krytyczną.

Pokaż oryginał (EN)

An improper neutralization of inputs used in expression language allows remote code execution with the highest privileges on the server.

🤖 Analiza AI
Jak działa

Atakujący może dostarczyć zdalnie spreparowane dane wejściowe, które nie są odpowiednio neutralizowane przed przekazaniem do mechanizmu expression language. Brak właściwej walidacji i sanityzacji tych danych pozwala na wstrzyknięcie i wykonanie dowolnych wyrażeń po stronie serwera. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani spełnienia żadnych szczególnych warunków, co czyni go trywialnym w przeprowadzeniu.

Skutki

Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu z najwyższymi uprawnieniami na podatnym serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem, wycieku danych oraz potencjalnego wpływu na środowisko sieciowe.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.bbraun.com/productsecurity

Kogo dotyczy

Produkty B. Braun — dokładne wersje wskazane w referencjach producenta (https://www.bbraun.com/productsecurity)

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje