CRITICAL🇬🇧 English

CVE-2025-54339

Błędna kontrola dostępu w Desktop Alert PingAlert — privilege escalation przez sieć

CVSS 10.0v3.1pub. 2025-11-14upd. 2025-11-19

Podatność klasy Incorrect Access Control (CWE-284) w serwerze aplikacji Desktop Alert PingAlert umożliwia zdalnym, nieuwierzytelnionym atakującym eskalację uprawnień. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — exploit nie wymaga żadnej interakcji użytkownika ani posiadanych wcześniej uprawnień.

Pokaż oryginał (EN)

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 exploitable remotely for Escalation of Privileges.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej implementacji mechanizmów kontroli dostępu w komponencie Application Server produktu PingAlert. Atakujący może zdalnie, przez sieć, wywołać operacje lub zasoby zastrzeżone dla uprzywilejowanych użytkowników bez konieczności uwierzytelnienia. Wektor CVSS wskazuje na brak jakichkolwiek warunków wstępnych (AC:L, PR:N, UI:N) oraz zmianę zakresu wpływu poza atakowany komponent (S:C), co sugeruje możliwość przejęcia kontroli nad zasobami systemu poza bezpośrednim zasięgiem serwera aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowane, wysokie uprawnienia w systemie, co prowadzi do pełnego naruszenia poufności i integralności danych oraz częściowego zakłócenia dostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/cve-2025-54339/). Do czasu wdrożenia aktualizacji zaleca się izolację serwera aplikacji PingAlert od nieautoryzowanych sieci oraz ograniczenie dostępu do niego wyłącznie do zaufanych adresów IP przy użyciu firewall lub reguł sieciowych.

Kogo dotyczy

Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.

Uwagi

Podatność obejmuje wyłącznie wersje 6.1.0.11–6.1.1.2 serwera aplikacji PingAlert. Producent opublikował dedykowaną stronę dla tego CVE pod adresem https://desktopalert.net/cve-2025-54339/.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L
  • Desktopalert Pingalert Application Server

    APP
    Desktopalert
    6.1.0.11 – 6.1.1.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54347CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Desktop Alert PingAlert — zapis dowolnych plików

CVE-2025-54343CRITICAL9.6PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Desktop Alert PingAlert — privilege escalation

CVE-2025-54563HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54338HIGH7.5ten sam produkt

An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...

CVE-2025-54346HIGH7.6ten sam produkt

A Reflected Cross Site Scripting (XSS) vulnerability was found in the Application Server of Desktop Alert Ping...