Plataforma
other
Componente
statistics-database-system
Corregido en
1.0.4
Se ha identificado una vulnerabilidad de Acceso Arbitrario de Archivos en el Statistics Database System desarrollado por Gotac. Esta falla permite a atacantes remotos no autenticados explotar una vulnerabilidad de Recorrido de Ruta Relativa para descargar archivos del sistema. La vulnerabilidad afecta a las versiones 0 hasta 1.0.3 y se recomienda actualizar a la versión 1.0.4 para solucionar el problema.
La vulnerabilidad de Acceso Arbitrario de Archivos en Statistics Database System representa un riesgo significativo para la confidencialidad e integridad del sistema. Un atacante exitoso podría leer cualquier archivo al que el proceso del Statistics Database System tenga acceso, incluyendo archivos de configuración, contraseñas, datos sensibles de usuarios y código fuente. Esto podría conducir a la exposición de información confidencial, la modificación de la configuración del sistema, la ejecución de código malicioso o el acceso no autorizado a otros recursos de la red. La explotación de esta vulnerabilidad podría resultar en una brecha de datos significativa y comprometer la disponibilidad del sistema.
La vulnerabilidad CVE-2026-1022 fue publicada el 16 de enero de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. La naturaleza de la vulnerabilidad (recorrido de ruta relativa) sugiere que podría ser explotada fácilmente una vez que se disponga de un proof-of-concept público.
Organizations utilizing the Statistics Database System in production environments, particularly those with publicly accessible instances, are at risk. Systems with default configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's Statistics Database System instance could potentially expose data from other users.
• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../etc/passwd' # Check for file access• other / generic web:
grep -r 'path traversal' /var/log/apache2/access.log # Look for suspicious requests in logs• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../' # Check for directory listingdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-1022 es actualizar el Statistics Database System a la versión 1.0.4 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos, implementar un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas y monitorear los registros del sistema en busca de actividad sospechosa. Se debe revisar la configuración del sistema para asegurar que el acceso a archivos sensibles esté restringido a usuarios autorizados. Verifique después de la actualización que el acceso a archivos sensibles esté correctamente restringido.
Actualice el Statistics Database System a una versión posterior a la 1.0.3 para corregir la vulnerabilidad de lectura arbitraria de archivos. Si no es posible actualizar, implemente medidas de seguridad adicionales para restringir el acceso a archivos sensibles y valide las entradas del usuario para evitar el recorrido de directorios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1022 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a server running Statistics Database System due to a Relative Path Traversal flaw.
You are affected if you are running Statistics Database System versions 0.0 through 1.0.3. Upgrade to 1.0.4 to resolve the issue.
Upgrade to version 1.0.4 or later. As a temporary workaround, restrict access to the vulnerable endpoint using a WAF or proxy server.
While no public exploits are currently known, the vulnerability's simplicity suggests a medium probability of exploitation.
Refer to the Gotac website or relevant security mailing lists for the official advisory regarding CVE-2026-1022.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.