Версии ZwickRoell Test Data Management до 3.0.8 содержат уязвимость включения локального файла (LFI) в конечной точке /server/node_upgrade_srv.js. Злоумышленник, не прошедший проверку подлинности, может предоставить последовательности обхода каталога через параметр прошивки для доступа к произвольным файлам на сервере, что приведет к раскрытию информации о конфиденциальных системных файлах.
Показать оригинальное описание (EN)
ZwickRoell Test Data Management versions prior to 3.0.8 contain a local file inclusion (LFI) vulnerability in the /server/node_upgrade_srv.js endpoint. An unauthenticated attacker can supply directory traversal sequences via the firmware parameter to access arbitrary files on the server, leading to information disclosure of sensitive system files.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0