Plateforme
other
Composant
statistics-database-system
Corrigé dans
1.0.4
La vulnérabilité CVE-2026-1022 affecte le système de base de données Statistics Database System développé par Gotac. Elle permet une lecture arbitraire de fichiers, permettant à un attaquant non authentifié d'accéder à des fichiers sensibles sur le système. Les versions concernées sont 0 jusqu'à 1.0.3. Une version corrigée, 1.0.4, est désormais disponible.
Cette vulnérabilité d'accès arbitraire de fichiers permet à un attaquant non authentifié de contourner les mécanismes de sécurité et de lire des fichiers système sensibles. L'attaquant pourrait potentiellement accéder à des informations confidentielles telles que des fichiers de configuration, des clés de chiffrement, ou même du code source. L'exploitation réussie pourrait conduire à une compromission significative de la confidentialité et de l'intégrité du système. Bien qu'il n'y ait pas de rapport d'exploitation publique connu, la simplicité de la traversée de chemin rend cette vulnérabilité particulièrement préoccupante.
La vulnérabilité CVE-2026-1022 a été publiée le 16 janvier 2026. Il n'y a pas d'indication d'une inclusion dans le KEV (Know Exploited Vulnerabilities) de CISA à ce jour. Aucun proof-of-concept public n'a été rendu disponible, mais la nature simple de la traversée de chemin suggère une probabilité d'exploitation relativement élevée si elle est découverte par des acteurs malveillants.
Organizations utilizing the Statistics Database System in production environments, particularly those with publicly accessible instances, are at risk. Systems with default configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's Statistics Database System instance could potentially expose data from other users.
• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../etc/passwd' # Check for file access• other / generic web:
grep -r 'path traversal' /var/log/apache2/access.log # Look for suspicious requests in logs• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../' # Check for directory listingdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Statistics Database System vers la version 1.0.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à restreindre l'accès au système de base de données via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'accès non autorisé aux fichiers système. La configuration d'un WAF (Web Application Firewall) avec des règles spécifiques pour bloquer les requêtes contenant des séquences de traversée de chemin (../) peut également aider à atténuer le risque.
Actualice el Statistics Database System a una versión posterior a la 1.0.3 para corregir la vulnerabilidad de lectura arbitraria de archivos. Si no es posible actualizar, implemente medidas de seguridad adicionales para restringir el acceso a archivos sensibles y valide las entradas del usuario para evitar el recorrido de directorios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1022 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a server running Statistics Database System due to a Relative Path Traversal flaw.
You are affected if you are running Statistics Database System versions 0.0 through 1.0.3. Upgrade to 1.0.4 to resolve the issue.
Upgrade to version 1.0.4 or later. As a temporary workaround, restrict access to the vulnerable endpoint using a WAF or proxy server.
While no public exploits are currently known, the vulnerability's simplicity suggests a medium probability of exploitation.
Refer to the Gotac website or relevant security mailing lists for the official advisory regarding CVE-2026-1022.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.