Plataforma
other
Componente
crystal-live-http-server
La vulnerabilidad CVE-2019-25352 es una falla de Path Traversal descubierta en Crystal Live HTTP Server, afectando a la versión 6.01. Esta falla permite a atacantes remotos acceder a archivos sensibles del sistema operativo, como archivos de configuración de Windows, mediante la manipulación de las rutas URL. La explotación exitosa requiere que el atacante pueda enviar solicitudes HTTP al servidor vulnerable. No se ha publicado una versión corregida, por lo que se recomienda aplicar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes HTTP cuidadosamente elaboradas que contienen secuencias de '..'. Estas secuencias permiten al atacante navegar fuera del directorio raíz web y acceder a archivos arbitrarios en el sistema de archivos del servidor. Esto podría incluir archivos de configuración que contienen contraseñas, claves API u otra información confidencial. La divulgación de esta información podría permitir al atacante comprometer aún más el sistema, obtener acceso no autorizado a datos sensibles o incluso ejecutar código malicioso. La falta de una versión corregida aumenta el riesgo de explotación.
La vulnerabilidad CVE-2019-25352 no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación es incierta, pero la falta de una versión corregida y la relativa simplicidad de la explotación la hacen potencialmente atractiva para los atacantes. No se conocen públicamente pruebas de concepto (PoC) activas, pero la vulnerabilidad es fácilmente explotable con herramientas estándar. La publicación de la vulnerabilidad ocurrió el 2026-02-18.
Systems utilizing Crystal Live HTTP Server version 6.01–6.01, particularly those deployed in environments with limited network segmentation or exposed to the internet, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable.
disclosure
Estado del Exploit
EPSS
0.46% (64% percentil)
CISA SSVC
Vector CVSS
Dado que no hay una versión corregida disponible, la mitigación se centra en la restricción del acceso y la validación de la entrada. Implemente controles de acceso estrictos para limitar el acceso a los archivos del sistema. Utilice una configuración de servidor web que restrinja el acceso a directorios fuera del directorio raíz web. Valide y sanee cuidadosamente todas las entradas de usuario para evitar la inyección de secuencias de '..'. Considere el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Monitoree los registros del servidor en busca de patrones sospechosos, como solicitudes con múltiples secuencias de '..'.
Actualizar a una versión parcheada del Crystal Live HTTP Server que solucione la vulnerabilidad de path traversal. Si no hay una versión disponible, considerar deshabilitar el servicio o implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas de la URL.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25352 is a vulnerability allowing attackers to access files outside the intended web root in Crystal Live HTTP Server 6.01–6.01 by manipulating URL paths.
If you are running Crystal Live HTTP Server version 6.01–6.01, you are potentially affected by this vulnerability. Upgrade is the recommended solution.
Upgrade to a patched version of Crystal Live HTTP Server. If a patch is unavailable, implement WAF rules and restrict access to the server.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for future attacks. Proactive mitigation is recommended.
Official advisories may be available on the Crystal Live HTTP Server website or through security mailing lists. Check vendor resources for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.