CRITICAL🇬🇧 English

CVE-2026-9508

Suprema BioStar 2 — publiczne udostępnienie plików backup bez uwierzytelnienia

CVSS 10.0v4.0pub. 2026-05-29

Nieprawidłowe ustawienia uprawnień w Suprema BioStar 2 (wersje 2.9.3–2.9.11) powodują, że pliki kopii zapasowych mogą być publicznie dostępne przez serwer NGINX. Atakujący z dostępem sieciowym może pobrać pliki backup ZIP bez żadnego uwierzytelnienia, co grozi przejęciem serwera i nieautoryzowanym dostępem do baz danych.

Pokaż oryginał (EN)

Incorrect permission settings on a critical resource in Suprema BioStar 2 (versions 2.9.3 through 2.9.11) that allow backup files to be publicly exposed when the administrator configures their path within the NGINX webroot. This vulnerability allows an attacker with network access to directly download backup ZIP files via ‘http(s)://[server]/download/…’ without requiring authentication. This exposes highly sensitive information that can lead to server impersonation, unauthorized access to databases, and lateral movement.

🤖 Analiza AI
Jak działa

Gdy administrator systemu BioStar 2 skonfiguruje ścieżkę plików backup wewnątrz katalogu głównego (webroot) serwera NGINX, pliki te stają się publicznie dostępne przez HTTP/HTTPS. Nieprawidłowe uprawnienia do tego krytycznego zasobu (CWE-732) nie wymuszają żadnej kontroli dostępu ani uwierzytelnienia. Atakujący może bezpośrednio pobrać archiwum ZIP z backup'em, wysyłając żądanie HTTP(S) pod adres 'http(s)://[serwer]/download/…' bez podawania jakichkolwiek danych uwierzytelniających.

Skutki

Atakujący może pobrać pliki backup zawierające wysoce wrażliwe dane, co może prowadzić do podszycia się pod serwer (server impersonation), nieautoryzowanego dostępu do baz danych oraz lateral movement w sieci ofiary.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się zmianę ścieżki przechowywania plików backup poza katalog webroot serwera NGINX oraz weryfikację uprawnień dostępu do katalogów z kopiami zapasowymi.

Kogo dotyczy

Suprema BioStar 2 w wersjach od 2.9.3 do 2.9.11 (włącznie), przy konfiguracji ścieżki backup w katalogu webroot serwera NGINX

Uwagi

Podatność opisana w komunikacie INCIBE-CERT dotyczącym wielu podatności w produktach Suprema BioStar 2. CVE dotyczy wyłącznie konfiguracji, w której administrator umieścił ścieżkę backup w katalogu webroot NGINX — domyślna konfiguracja może nie być podatna.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-9508 — Suprema BioStar 2 — publiczne udostępnienie plików backup bez uwierzytelnienia — CRITICAL 10.0 | CVEbaza.pl