CVE-2026-9129 in Altium
Tóm tắt
Bởi VulDB • 01/06/2026
Một lỗ hổng path traversal tồn tại trong Altium Enterprise Server Viewer StorageController do xử lý không đúng các tham số đường dẫn tệp tin. Trên các triển khai on-premise sử dụng lưu trữ hệ thống tệp cục bộ, người dùng đã xác thực thông thường có thể cung cấp một đường dẫn tuyệt đối được mã hóa URL (chẳng hạn như chữ cái ổ đĩa được mã hóa) trong yêu cầu API lưu trữ Viewer, khiến thư mục gốc lưu trữ được cấu hình bị bỏ qua và cho phép đọc các tệp tin tùy ý từ hệ thống tệp của máy chủ.
Vì các tệp tin có thể đọc được bao gồm cấu hình chính của máy chủ, nơi lưu trữ thông tin đăng nhập cơ sở dữ liệu, vị trí khóa ký, mật khẩu chứng chỉ và bí mật OAuth, việc khai thác có thể dẫn đến tiết lộ tất cả các bí mật của máy chủ và làm tổn hại toàn bộ máy chủ cũng như dữ liệu của nó. Các triển khai trên đám mây không bị ảnh hưởng vì chúng sử dụng lưu trữ đối tượng và không kích hoạt thành phần này.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.