Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu WaveStore Server i koordynował proces ujawniania informacji.
Podatność CVE-2025-65074: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może wykonać dowolne polecenia systemu operacyjnego na serwerze, wykorzystując podatność typu Path Traversal w skrypcie showerr.
Podatność CVE-2025-65075: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może odczytywać lub usuwać pliki z uprawnieniami użytkownika dvr na serwerze, wykorzystując podatność typu Path Traversal w skrypcie alog.
Podatność CVE-2025-65076: Klient WaveView umożliwia użytkownikom wykonywanie ograniczonego zestawu predefiniowanych poleceń i skryptów na podłączonym serwerze WaveStore. Atakujący z wysokimi uprawnieniami może odczytywać lub usuwać dowolne pliki na serwerze, wykorzystując podatność typu Path Traversal w skrypcie ilog. Ten skrypt jest uruchamiany z uprawnieniami administratora (root).
Podatności zostały usunięte w wersji 6.44.44.
Podziękowania
Za zgłoszenie podatności dziękujemy Julii Zduńczyk.