Софтуерът TimeWorks, разработван от японската компания Keiyo System Co., LTD, е засегнат от уязвимост от типа path traversal. Уязвимостта засяга уеб сървърния модул на приложението и позволява на отдалечен, неавтентициран атакуващ да достъпва файлове, които не трябва да бъдат достъпни през уеб интерфейса. Засегнати са версиите от 10.0 до 10.3 включително.
TimeWorks, версии 10.0 – 10.3
Уязвимостта е от тип path traversal (CWE-22), при която нападател може да използва специално форматирани URL адреси за достъп до файлове извън предвидената директория. В случая с TimeWorks, това може да доведе до неоторизиран достъп до произволни JSON файлове, намиращи се на сървъра.
Уязвимостта е регистрирана под идентификатор CVE-2025-41428.
CVSS v4.0: 6.9 (Medium)
CVSS v3.0: 5.3 (Medium)
Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
При експлоатация на уязвимостта, отдалечен атакуващ без каквато и да е автентикация може:
Да достъпва чувствителни JSON файлове, намиращи се на сървъра;
Да извлича конфигурационна информация, метаданни или друг чувствителен контекст от системата;
Да подготви последващи атаки чрез събиране на вътрешна информация (reconnaissance).
Важно е да се подчертае, че уязвимостта не позволява промяна на файлове или изпълнение на код, но компрометира поверителността на данните.
Прилагане на кръпка (patch)
Keiyo System Co., LTD предоставя актуализация на уеб сървърния модул на TimeWorks, която отстранява уязвимостта. Потребителите следва незабавно да приложат пача, съгласно официалните инструкции на разработчика.
Официалният доклад (на японски език) съдържа технически подробности и стъпки за прилагане на корекцията.
Откритието на уязвимостта е заслуга на Масаму Асато от GMO Cybersecurity by Ierae, Inc. Докладването и координацията по разрешаването ѝ са реализирани с подкрепата на JPCERT/CC и IPA, в рамките на японското Партньорство за ранно предупреждение в информационната сигурност.
Източник: JPCERT/CC, JVN, CVE-2025-41428
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
