CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-4632

Path Traversal w Samsung MagicINFO 9 Server — zapis plików jako SYSTEM

CVSS 9.8v3.1pub. 2025-05-13upd. 2025-11-03

Podatność typu path traversal w Samsung MagicINFO 9 Server umożliwia nieuwierzytelnionemu atakującemu zapis dowolnych plików z uprawnieniami systemowymi. Ze względu na brak wymagań dotyczących uwierzytelnienia oraz pełnię uzyskiwanych uprawnień, podatność jest oceniona jako krytyczna (CVSS 9.8) i jest aktywnie wykorzystywana w środowiskach produkcyjnych.

Pokaż oryginał (EN)

Improper limitation of a pathname to a restricted directory vulnerability in Samsung MagicINFO 9 Server version before 21.1052 allows attackers to write arbitrary file as system authority.

🤖 Analiza AI
Jak działa

Serwer Samsung MagicINFO 9 nie nakłada prawidłowych ograniczeń na ścieżki plików podawane przez użytkownika, co umożliwia wyjście poza dozwolony katalog (path traversal). Atakujący, bez jakiegokolwiek uwierzytelnienia, może przesłać spreparowane żądanie sieciowe wskazujące dowolną lokalizację w systemie plików serwera. W efekcie możliwy jest zapis dowolnej treści w dowolnym miejscu systemu plików z uprawnieniami konta systemowego (SYSTEM authority).

Skutki

Atakujący może zapisać dowolne pliki z uprawnieniami systemowymi, co w praktyce umożliwia zdalne przejęcie pełnej kontroli nad serwerem — np. poprzez wgranie webshella, nadpisanie plików konfiguracyjnych lub binarnych. Możliwe jest uzyskanie pełnego dostępu do zasobów systemu, naruszenie poufności i integralności danych oraz trwałe przejęcie serwera.

Mitygacja

Należy niezwłocznie zaktualizować Samsung MagicINFO 9 Server do wersji 21.1052 lub nowszej zgodnie z informacjami producenta dostępnymi pod adresem: https://security.samsungtv.com/securityUpdates#SVP-MAY-2025. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do serwera MagicINFO wyłącznie do zaufanych hostów oraz monitorowanie logów pod kątem podejrzanych żądań zawierających sekwencje path traversal.

Kogo dotyczy

Samsung MagicINFO 9 Server w wersjach wcześniejszych niż 21.1052

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities — CISA potwierdza aktywne wykorzystywanie tej luki w środowiskach produkcyjnych. Data publikacji biuletynu bezpieczeństwa przez Samsung: maj 2025.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Samsung Magicinfo 9 Server

    APP
    Samsung
    < 21.1052.0

CISA KEV — szczegółyi

Dostawcai
Samsung
Produkti
MagicINFO 9 Server
Data dodania do KEVi
22 maja 2025
Termin remediation (USA)i
12 czerwca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dotyczącymi usług chmurowych, lub przerwij użytkowanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Samsung MagicINFO 9 Server zawiera luki w ścieżce dostępu, która umożliwia atakującemu zapis dowolnego pliku z uprawnieniami systemu.

tłumaczenie AI
Pokaż oryginał (EN)

Samsung MagicINFO 9 Server contains a path traversal vulnerability that allows an attacker to write arbitrary file as system authority.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 12 czerwca 2025
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-25202CRITICAL9.8PL ✓ten sam produkt

Zakodowane na stałe dane logowania do bazy danych w Samsung MagicINFO 9 Server

CVE-2026-25200CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML

CVE-2025-54443CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server umożliwia upload Web Shell

CVE-2025-54438CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell

CVE-2025-54440CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection