PT-2026-44832 · Suprema+1 · Biostar 2+1

Publicado

2026-05-29

·

Atualizado

2026-05-29

·

CVE-2026-9508

CVSS v4.0

10

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L
Nome do Software Vulnerável e Versões Afetadas Suprema BioStar 2 versões 2.9.3 a 2.9.11
Descrição Configurações de permissão incorretas em um recurso crítico permitem que arquivos de backup sejam expostos publicamente quando o administrador configura seu caminho dentro do webroot do NGINX. Um invasor com acesso à rede pode baixar diretamente arquivos ZIP de backup através do endpoint 'http(s)://[server]/download/...' sem a necessidade de autenticação. Isso leva à exposição de informações altamente sensíveis, o que pode permitir a personificação do servidor, acesso não autorizado a bancos de dados e movimentação lateral na rede.
Recomendações Para as versões 2.9.3 a 2.9.11, certifique-se de que os caminhos de backup não estejam configurados dentro do webroot do NGINX para evitar a exposição pública dos arquivos de backup.

Correção

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9508

Produtos afetados

Biostar 2
Nginx