CRITICAL🇬🇧 English

CVE-2025-53417

DIAView — path traversal umożliwiający ujawnienie informacji

CVSS 9.3v4.0pub. 2025-08-05upd. 2026-04-15

W oprogramowaniu DIAView w wersji 4.2.0 i wcześniejszych wykryto podatność typu path traversal (CWE-35), pozwalającą nieuwierzytelnionemu atakującemu na uzyskanie dostępu do plików poza zamierzonym katalogiem aplikacji. Podatność otrzymała ocenę CVSS 9.3 (CRITICAL) i nie wymaga żadnej interakcji ze strony użytkownika ani specjalnych uprawnień.

Pokaż oryginał (EN)

DIAView (v4.2.0 and prior) - Directory Traversal Information Disclosure Vulnerability

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi ścieżek do plików — aplikacja nie filtruje właściwie sekwencji katalogów nadrzędnych (np. '../'), co pozwala atakującemu na wyjście poza dozwolony katalog roboczy. Atakujący może za pomocą spreparowanego żądania sieciowego wskazać dowolny plik w systemie plików serwera. Brak wymogu uwierzytelnienia (PR:N, UI:N) sprawia, że atak można przeprowadzić zdalnie bez żadnych poświadczeń.

Skutki

Atakujący może odczytać poufne pliki z systemu hosta, na którym działa DIAView, co może prowadzić do ujawnienia danych konfiguracyjnych, poświadczeń lub innych wrażliwych informacji. Zgodnie z wektorem CVSS podatność zapewnia wysoki wpływ na poufność, integralność i dostępność zasobów systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w biuletynie bezpieczeństwa Delta Electronics: Delta-PCSA-2025-00010 dostępnym pod adresem wskazanym w referencjach.

Kogo dotyczy

Delta Electronics DIAView w wersji 4.2.0 oraz wszystkich wcześniejszych wersjach.

Uwagi

Podatność opisana w oficjalnym biuletynie producenta Delta Electronics o numerze Delta-PCSA-2025-00010.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje
CVE-2025-53417 — DIAView — path traversal umożliwiający ujawnienie informacji — CRITICAL 9.3 | CVEbaza.pl