CVE-2026-7411

Nome do Software Vulnerável e Versões Afetadas Eclipse BaSyx Java Server SDK versões anteriores a 2.0.0-milestone-10

Descrição A normalização inadequada de caminho na API HTTP do Submodel permite que um invasor remoto não autenticado realize um ataque de path traversal. Ao fornecer um parâmetro fileName maliciosamente elaborado durante uma operação de upload de arquivo, um invasor pode ignorar os limites de armazenamento pretendidos e gravar arquivos arbitrários em qualquer local do sistema de arquivos do host acessível pelo processo Java. Isso pode levar à Execução Remota de Código (RCE), que é a capacidade de executar comandos arbitrários em uma máquina alvo, e ao comprometimento total do sistema.

Recomendações Atualize para a versão 2.0.0-milestone-10 ou posterior. Evite usar o parâmetro fileName na API HTTP do Submodel para uploads de arquivos até que a atualização seja aplicada.