Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu WaveStore Server
16 grudnia 2025 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-65074
Data publikacji 16 grudnia 2025
Producent podatnego oprogramowania WaveStore
Nazwa podatnego oprogramowania WaveStore Server
Podatne wersje Wszystkie poniżej 6.44.44
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-65075
Data publikacji 16 grudnia 2025
Producent podatnego oprogramowania WaveStore
Nazwa podatnego oprogramowania WaveStore Server
Podatne wersje Wszystkie poniżej 6.44.44
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-65076
Data publikacji 16 grudnia 2025
Producent podatnego oprogramowania WaveStore
Nazwa podatnego oprogramowania WaveStore Server
Podatne wersje Wszystkie poniżej 6.44.44
Typ podatności (CWE) Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') (CWE-22)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu WaveStore Server i koordynował proces ujawniania informacji.

Podatność CVE-2025-65074: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może wykonać dowolne polecenia systemu operacyjnego na serwerze, wykorzystując podatność typu Path Traversal w skrypcie showerr.

Podatność CVE-2025-65075: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może odczytywać lub usuwać pliki z uprawnieniami użytkownika dvr na serwerze, wykorzystując podatność typu Path Traversal w skrypcie alog.

Podatność CVE-2025-65076: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może odczytywać lub usuwać dowolne pliki na serwerze, wykorzystując podatność typu Path Traversal w skrypcie ilog. Ten skrypt jest uruchamiany z uprawnieniami administratora (root).

Podatności zostały usunięte w wersji 6.44.44.

Podziękowania

Za zgłoszenie podatności dziękujemy Julii Zduńczyk.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.