PT-2026-54700 · Altium · Altium Enterprise Server+1
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-14439
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Altium Enterprise Server versões anteriores a 8.1.1
Altium 365 (versões afetadas não especificadas)
Descrição
Um problema de path traversal existe no componente Git Service compartilhado pelo Altium Enterprise Server e Altium 365. O serviço processa operações de manipulação de arquivos pós-clone usando caminhos fornecidos pelo usuário sem a devida validação. Isso permite que um usuário autenticado com acesso básico ao git mova arquivos arbitrários para fora da área do repositório pretendida. Essa capacidade pode ser usada para colocar conteúdo de script malicioso em diretórios onde o serviço os executa posteriormente, levando à execução remota de código sob a conta do Git Service. Em implantações multi-tenant do Altium 365, isso poderia permitir o acesso não autorizado a dados de outros locatários no mesmo nó de infraestrutura.
Recomendações
Atualize o Altium Enterprise Server para a versão 8.1.1.
Correção
Path traversal
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Altium 365
Altium Enterprise Server