CRITICAL✓ PATCH🇬🇧 English

CVE-2025-54442

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection

CVSS 9.8v3.1pub. 2025-07-23upd. 2025-07-30

Krytyczna podatność w Samsung MagicINFO 9 Server pozwala nieuwierzytelnionemu atakującemu na przesłanie pliku niebezpiecznego typu, co prowadzi do wykonania dowolnego kodu na serwerze. Brak jakichkolwiek wymagań uwierzytelnienia i możliwość zdalnego wykorzystania czynią tę lukę wyjątkowo groźną.

Pokaż oryginał (EN)

Unrestricted Upload of File with Dangerous Type vulnerability in Samsung Electronics MagicINFO 9 Server allows Code Injection.This issue affects MagicINFO 9 Server: less than 21.1080.0.

🤖 Analiza AI
Jak działa

Podatność (CWE-434) polega na braku odpowiedniej walidacji i ograniczeń dotyczących typów przesyłanych plików w aplikacji MagicINFO 9 Server. Atakujący może wysłać żądanie sieciowe zawierające plik o niebezpiecznym typie (np. skrypt wykonywalny po stronie serwera) bez konieczności posiadania jakichkolwiek uprawnień. Po przesłaniu serwer może przetworzyć lub wykonać taki plik, co skutkuje wstrzyknięciem i uruchomieniem kodu w kontekście procesu serwerowego.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu zdalne wykonanie dowolnego kodu na serwerze (RCE), a w konsekwencji pełne przejęcie kontroli nad systemem, w tym naruszenie poufności, integralności i dostępności danych.

Mitygacja

Należy niezwłocznie zaktualizować Samsung MagicINFO 9 Server do wersji 21.1080.0 lub nowszej. Szczegółowe informacje o dostępnych patchach dostępne są w referencjach producenta: https://security.samsungtv.com/securityUpdates

Kogo dotyczy

Samsung MagicINFO 9 Server we wszystkich wersjach wcześniejszych niż 21.1080.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Samsung Magicinfo 9 Server

    APP
    Samsung
    < 21.1080.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-4632CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server — zapis plików jako SYSTEM

CVE-2026-25200CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — Stored XSS przez upload plików HTML

CVE-2026-25202CRITICAL9.8PL ✓ten sam produkt

Zakodowane na stałe dane logowania do bazy danych w Samsung MagicINFO 9 Server

CVE-2025-54438CRITICAL9.8PL ✓ten sam produkt

Path Traversal w Samsung MagicINFO 9 Server umożliwia wgranie web shell

CVE-2025-54440CRITICAL9.8PL ✓ten sam produkt

Samsung MagicINFO 9 Server — nieograniczony upload pliku umożliwia Code Injection