PT-2026-44832 · Suprema+1 · Biostar 2+1
Publicado
2026-05-29
·
Atualizado
2026-05-29
·
CVE-2026-9508
CVSS v4.0
10
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L |
Nome do Software Vulnerável e Versões Afetadas
Suprema BioStar 2 versões 2.9.3 a 2.9.11
Descrição
Configurações de permissão incorretas em um recurso crítico permitem que arquivos de backup sejam expostos publicamente quando o administrador configura seu caminho dentro do webroot do NGINX. Um invasor com acesso à rede pode baixar diretamente arquivos ZIP de backup através do endpoint 'http(s)://[server]/download/...' sem a necessidade de autenticação. Isso leva à exposição de informações altamente sensíveis, o que pode permitir a personificação do servidor, acesso não autorizado a bancos de dados e movimentação lateral na rede.
Recomendações
Para as versões 2.9.3 a 2.9.11, certifique-se de que os caminhos de backup não estejam configurados dentro do webroot do NGINX para evitar a exposição pública dos arquivos de backup.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Biostar 2
Nginx