CRITICAL🇬🇧 English

CVE-2026-25895

Path traversal w FUXA SCADA/HMI umożliwia zapis dowolnych plików

CVSS 9.5v4.0pub. 2026-02-09upd. 2026-02-13

Podatność typu path traversal w oprogramowaniu FUXA (webowy system wizualizacji procesów SCADA/HMI/Dashboard) pozwala nieuwierzytelnionemu atakującemu zdalnie zapisywać dowolne pliki w dowolnych lokalizacjach systemu plików serwera. Zagrożenie jest krytyczne ze względu na brak wymogu uwierzytelnienia oraz potencjalne skutki dla infrastruktury przemysłowej.

Pokaż oryginał (EN)

FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. A path traversal vulnerability in FUXA allows an unauthenticated, remote attacker to write arbitrary files to arbitrary locations on the server filesystem. This affects FUXA through version 1.2.9. This issue has been patched in FUXA version 1.2.10.

🤖 Analiza AI
Jak działa

Podatność (CWE-22) wynika z nieprawidłowej walidacji ścieżek plików przesyłanych do aplikacji, co umożliwia atakującemu wyjście poza dozwolony katalog poprzez sekwencje traversal (np. '../'). Dodatkowo brak wymaganego uwierzytelnienia (CWE-306) oznacza, że exploit może zostać przeprowadzony bez posiadania jakichkolwiek poświadczeń. Atakujący może w ten sposób zapisać złośliwe pliki w dowolnym miejscu systemu plików serwera, na którym działa FUXA.

Skutki

Atakujący może zapisać dowolne pliki w krytycznych lokalizacjach systemu operacyjnego serwera, co w praktyce może prowadzić do wykonania zdalnego kodu (RCE), przejęcia kontroli nad serwerem lub zakłócenia działania systemów przemysłowych SCADA/HMI. Wpływ obejmuje zarówno poufność, integralność, jak i dostępność systemu oraz systemów zależnych.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie FUXA do wersji 1.2.10, w której podatność została naprawiona. Patch dostępny jest w oficjalnym repozytorium GitHub projektu oraz w wydaniu v1.2.10.

Kogo dotyczy

FUXA (Frangoteam) we wszystkich wersjach do 1.2.9 włącznie.

Uwagi

Podatność dotyczy oprogramowania klasy SCADA/HMI stosowanego w środowiskach przemysłowych, co podnosi potencjalne ryzyko operacyjne. Poprawka została wprowadzona w commicie 22c2192f5d9beef8a787c45eff3a14c24dbb5f96 i opisana w security advisory GHSA-88qh-cphv-996c.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Frangoteam Fuxa

    APP
    Frangoteam
    < 1.2.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-69985CRITICAL9.8PL ✓ten sam produkt

FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE

CVE-2026-25893CRITICAL10.0PL ✓ten sam produkt

FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat

CVE-2026-25938CRITICAL9.5PL ✓ten sam produkt

FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED

CVE-2026-25894CRITICAL9.5PL ✓ten sam produkt

FUXA SCADA: domyślny sekret JWT umożliwia nieautoryzowany dostęp i RCE

CVE-2026-25939CRITICAL9.3PL ✓ten sam produkt

FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia