Podatność klasy Incorrect Access Control (CWE-284) w serwerze aplikacji Desktop Alert PingAlert umożliwia zdalnym, nieuwierzytelnionym atakującym eskalację uprawnień. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — exploit nie wymaga żadnej interakcji użytkownika ani posiadanych wcześniej uprawnień.
▸ Pokaż oryginał (EN)
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 exploitable remotely for Escalation of Privileges.
Błąd polega na nieprawidłowej implementacji mechanizmów kontroli dostępu w komponencie Application Server produktu PingAlert. Atakujący może zdalnie, przez sieć, wywołać operacje lub zasoby zastrzeżone dla uprzywilejowanych użytkowników bez konieczności uwierzytelnienia. Wektor CVSS wskazuje na brak jakichkolwiek warunków wstępnych (AC:L, PR:N, UI:N) oraz zmianę zakresu wpływu poza atakowany komponent (S:C), co sugeruje możliwość przejęcia kontroli nad zasobami systemu poza bezpośrednim zasięgiem serwera aplikacji.
Atakujący może uzyskać nieautoryzowane, wysokie uprawnienia w systemie, co prowadzi do pełnego naruszenia poufności i integralności danych oraz częściowego zakłócenia dostępności usługi.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/cve-2025-54339/). Do czasu wdrożenia aktualizacji zaleca się izolację serwera aplikacji PingAlert od nieautoryzowanych sieci oraz ograniczenie dostępu do niego wyłącznie do zaufanych adresów IP przy użyciu firewall lub reguł sieciowych.
Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.
Podatność obejmuje wyłącznie wersje 6.1.0.11–6.1.1.2 serwera aplikacji PingAlert. Producent opublikował dedykowaną stronę dla tego CVE pod adresem https://desktopalert.net/cve-2025-54339/.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:LDesktopalert Pingalert Application Server
APPDesktopalert6.1.0.11 – 6.1.1.4 (bez)
Powiązane podatności
Path Traversal w Desktop Alert PingAlert — zapis dowolnych plików
Nieprawidłowa kontrola dostępu w Desktop Alert PingAlert — privilege escalation
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
A Reflected Cross Site Scripting (XSS) vulnerability was found in the Application Server of Desktop Alert Ping...