Уязвимост в TimeWorks позволява отдалечено четене на JSON файлове чрез path traversal атака

Picture of e-security.bg
e-security.bg
Уязвимости

Обзор

Софтуерът TimeWorks, разработван от японската компания Keiyo System Co., LTD, е засегнат от уязвимост от типа path traversal. Уязвимостта засяга уеб сървърния модул на приложението и позволява на отдалечен, неавтентициран атакуващ да достъпва файлове, които не трябва да бъдат достъпни през уеб интерфейса. Засегнати са версиите от 10.0 до 10.3 включително.

Засегнати продукти

  • TimeWorks, версии 10.0 – 10.3

Описание на уязвимостта

Уязвимостта е от тип path traversal (CWE-22), при която нападател може да използва специално форматирани URL адреси за достъп до файлове извън предвидената директория. В случая с TimeWorks, това може да доведе до неоторизиран достъп до произволни JSON файлове, намиращи се на сървъра.

Уязвимостта е регистрирана под идентификатор CVE-2025-41428.

CVSS оценки:

  • CVSS v4.0: 6.9 (Medium)

  • CVSS v3.0: 5.3 (Medium)

    • Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Потенциално въздействие

При експлоатация на уязвимостта, отдалечен атакуващ без каквато и да е автентикация може:

  • Да достъпва чувствителни JSON файлове, намиращи се на сървъра;

  • Да извлича конфигурационна информация, метаданни или друг чувствителен контекст от системата;

  • Да подготви последващи атаки чрез събиране на вътрешна информация (reconnaissance).

Важно е да се подчертае, че уязвимостта не позволява промяна на файлове или изпълнение на код, но компрометира поверителността на данните.

Препоръчително решение

Прилагане на кръпка (patch)
Keiyo System Co., LTD предоставя актуализация на уеб сървърния модул на TimeWorks, която отстранява уязвимостта. Потребителите следва незабавно да приложат пача, съгласно официалните инструкции на разработчика.

Официалният доклад (на японски език) съдържа технически подробности и стъпки за прилагане на корекцията.

Координация и благодарности

Откритието на уязвимостта е заслуга на Масаму Асато от GMO Cybersecurity by Ierae, Inc. Докладването и координацията по разрешаването ѝ са реализирани с подкрепата на JPCERT/CC и IPA, в рамките на японското Партньорство за ранно предупреждение в информационната сигурност.

Източник: JPCERT/CC, JVN, CVE-2025-41428

#бъгове
По материали от Интернет

Подобни

Oпасен бъг в React Server Components
5.12.2025
laptop-bug-fix-lvcandy-istock-vectors-getty-images-56a6fa1b5f9b58b7d0e5ce40
Критична уязвимост във Vim за Windows
5.12.2025
vulnerabilities pexels-shkrabaanthony-5475752
Критична уязвимост в Sneeit Framework за WordPress е под активна експлоатация
5.12.2025
wordpress
Социален инженеринг извън имейлите - заплахите в реалния живот
5.12.2025
finger-769300_640
Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)
4.12.2025
Windows-10
Критична уязвимост в Microsoft Azure API Management
2.12.2025
80% of companies experience security incidents in the Cloud

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.