W serwerze aplikacji Desktop Alert PingAlert (wersje 6.1.0.11–6.1.1.2) wykryto podatność nieprawidłowej kontroli dostępu (CWE-284), umożliwiającą zdalne eskalowanie uprawnień. Podatność uzyskała ocenę CVSS 9.6 (CRITICAL), co czyni ją poważnym zagrożeniem dla organizacji korzystających z tego oprogramowania.
▸ Pokaż oryginał (EN)
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2 exploitable remotely for Escalation of Privileges.
Błąd polega na nieprawidłowej implementacji mechanizmów kontroli dostępu w warstwie serwera aplikacji PingAlert. Uwierzytelniony zdalnie atakujący może wykorzystać tę lukę do uzyskania uprawnień wykraczających poza przyznany mu poziom dostępu. Wektor ataku sieciowy (AV:N) przy niskich wymaganiach co do uprawnień (PR:L) i bez konieczności interakcji użytkownika (UI:N) sprawia, że podatność jest stosunkowo łatwa do wyeksploitowania. Zakres podatności wykracza poza komponent, w którym wystąpił błąd (S:C), co może prowadzić do dalszego kompromitowania systemu.
Atakujący może uzyskać nieautoryzowane podwyższenie uprawnień (privilege escalation) w systemie, a w konsekwencji uzyskać wysoki poziom dostępu do poufnych danych oraz możliwość modyfikacji zasobów objętych ochroną (C:H, I:H).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://desktopalert.net/CVE-2025-54343/). Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu sieciowego do serwera aplikacji PingAlert wyłącznie do zaufanych adresów IP oraz wzmożone monitorowanie prób logowania i zmiany uprawnień.
Desktop Alert PingAlert Application Server w wersjach od 6.1.0.11 do 6.1.1.2 włącznie.
Podatność dotyczy wyłącznie wersji 6.1.0.11–6.1.1.2 według informacji opublikowanych przez producenta. Szczegółowe informacje techniczne dostępne są pod adresem https://desktopalert.net/CVE-2025-54343/.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:NDesktopalert Pingalert Application Server
APPDesktopalert6.1.0.11 – 6.1.1.4 (bez)
Powiązane podatności
Path Traversal w Desktop Alert PingAlert — zapis dowolnych plików
Błędna kontrola dostępu w Desktop Alert PingAlert — privilege escalation przez sieć
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
An Incorrect Access Control vulnerability was found in the Application Server of Desktop Alert PingAlert versi...
An issue was found in the Application Server of Desktop Alert PingAlert version 6.1.0.11 to 6.1.1.2. Sensitive...