CRITICAL🇬🇧 English

CVE-2025-46658

Ujawnienie informacji przez szczegółowe komunikaty błędów w 4C Strategies Exonaut

CVSS 9.8v3.1pub. 2025-08-05upd. 2025-10-02

W aplikacji ExonautWeb (4C Strategies Exonaut 21.6) wykryto podatność polegającą na generowaniu nadmiernie szczegółowych komunikatów błędów. Mimo iż CWE-209 typowo klasyfikowany jest jako problem ujawnienia informacji, podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co wskazuje na potencjalnie poważne konsekwencje dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

An issue was discovered in ExonautWeb in 4C Strategies Exonaut 21.6. There are verbose error messages.

🤖 Analiza AI
Jak działa

Aplikacja ExonautWeb w wersji 21.6 zwraca użytkownikowi rozbudowane, szczegółowe komunikaty błędów (verbose error messages). Tego rodzaju komunikaty mogą ujawniać wrażliwe informacje o infrastrukturze, konfiguracji serwera, ścieżkach systemowych, stosie technologicznym lub strukturze bazy danych. Informacje te mogą być następnie wykorzystane przez atakującego do przygotowania bardziej precyzyjnych ataków na system.

Skutki

Atakujący bez uwierzytelnienia, działający zdalnie, może pozyskać wrażliwe informacje techniczne o aplikacji i środowisku serwerowym, co może ułatwić przeprowadzenie dalszych ataków prowadzących do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się skonfigurowanie aplikacji tak, aby nie ujawniała szczegółowych komunikatów błędów użytkownikom końcowym — błędy techniczne powinny być logowane wyłącznie po stronie serwera.

Kogo dotyczy

4C Strategies Exonaut w wersji 21.6 (komponent ExonautWeb)

Uwagi

Ocena CVSS 9.8 (CRITICAL) dla podatności klasy CWE-209 (ujawnienie informacji w komunikatach błędów) jest nietypowo wysoka. Szczegóły techniczne uzasadniające tę ocenę dostępne są w referencji: https://gist.github.com/Jowu73/005ca4f85b27fb272a4e62e373341fa5

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • 4cstrategies Exonaut

    APP
    4Cstrategies
    21.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-46659HIGH7.5ten sam produkt

An issue was discovered in ExonautWeb in 4C Strategies Exonaut 21.6. Information disclosure can occur via an e...

CVE-2024-55401MEDIUM6.5ten sam produkt

An issue in 4C Strategies Exonaut before v22.4 allows attackers to execute a directory traversal.

CVE-2024-55398MEDIUM6.5ten sam produkt

4C Strategies Exonaut before v22.4 was discovered to contain insecure permissions.

CVE-2024-55399MEDIUM6.5ten sam produkt

4C Strategies Exonaut before v21.6.2.1-1 was discovered to contain a Server-Side Request Forgery (SSRF).

CVE-2024-55402MEDIUM5.3ten sam produkt

4C Strategies Exonaut before v22.4 was discovered to contain an access control issue.