W komponencie Sub-Manager Server produktu Lanscope Endpoint Manager (wersja On-Premises) wykryto podatność typu path traversal. Luka umożliwia nieuwierzytelnionemu atakującemu zdalne zmodyfikowanie dowolnych plików i wykonanie arbitralnego kodu na zaatakowanym systemie.
▸ Pokaż oryginał (EN)
Path traversal vulnerability exists in Lanscope Endpoint Manager (On-Premises) Sub-Manager Server Ver.9.4.7.3 and earlier, which may allow an attacker to tamper with arbitrary files and execute arbitrary code on the affected system.
Podatność wynika z nieprawidłowej walidacji ścieżek plików w komponencie Sub-Manager Server (CWE-22 — path traversal). Atakujący może wysłać spreparowane żądanie sieciowe zawierające sekwencje katalogowe (np. '../'), co pozwala wyjść poza dozwolony katalog roboczy i uzyskać dostęp do dowolnych plików systemu operacyjnego. Dzięki możliwości modyfikacji tych plików możliwe jest następnie wykonanie arbitralnego kodu (RCE) na serwerze.
Atakujący bez jakiegokolwiek uwierzytelnienia może zmodyfikować dowolne pliki na serwerze oraz wykonać na nim arbitralny kod, co może prowadzić do pełnego przejęcia kontroli nad systemem.
Należy zaktualizować Sub-Manager Server do wersji nowszej niż 9.4.7.3, stosując patche dostępne u producenta zgodnie z informacjami opublikowanymi przez Motex pod adresem https://www.motex.co.jp/news/notice/2026/release260225/ oraz w biuletynie JVN#79096585.
Motex Lanscope Endpoint Manager (On-Premises) — Sub-Manager Server w wersji 9.4.7.3 i wcześniejszych
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMotex Lanscope Endpoint Manager
APPMotex< 9.4.8.0