Platform
other
Component
ni-system-web-server
Opgelost in
12.0.1
CVE-2025-12097 beschrijft een Path Traversal kwetsbaarheid in de NI System Web Server. Deze kwetsbaarheid stelt een aanvaller in staat om, door het versturen van een speciaal gevormde request, willekeurige bestanden op het systeem te lezen, wat kan leiden tot gevoelsgegevenslekken. De kwetsbaarheid treft NI System Web Server versies 9.0.0 tot en met 12.*. Een fix is beschikbaar sinds 2013.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot aanzienlijke informatielekken. Een aanvaller kan toegang krijgen tot configuratiebestanden, broncode, of andere gevoelige data die op het systeem zijn opgeslagen. Dit kan vervolgens worden gebruikt voor verdere aanvallen, zoals het verkrijgen van credentials of het compromitteren van de gehele server. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de root directory van een webserver en vervolgens gevoelige bestanden kan downloaden. De omvang van de schade hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via de kwetsbaarheid.
Deze kwetsbaarheid is recentelijk openbaar gemaakt (2025-12-04). Er is momenteel geen informatie beschikbaar over actieve exploits of campagnes. De CVSS score van 7.5 (HIGH) duidt op een significant risico. Er zijn geen publieke Proof-of-Concept exploits bekend op het moment van schrijven.
Organizations utilizing legacy NI System Web Server deployments, particularly those running versions 9.0.0 through 12.*, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one user's account could potentially expose data for other users.
disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-12097 is het upgraden van de NI System Web Server naar versie 2013 of hoger, waar de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte toegangscontroles op het bestandssysteem, waardoor de toegang tot gevoelige bestanden wordt beperkt. Het configureren van een Web Application Firewall (WAF) om requests met path traversal patronen te blokkeren kan ook helpen. Controleer de webserver configuratie op onnodige directory listing functionaliteit, die de impact van de kwetsbaarheid kan vergroten.
Actualice el NI System Web Server a una versión posterior a 2012. Esto solucionará la vulnerabilidad de path traversal. Consulte la documentación de NI para obtener instrucciones específicas sobre cómo actualizar el software.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-12097 is a vulnerability allowing attackers to read arbitrary files on a server running NI System Web Server, potentially exposing sensitive data.
You are affected if you are running NI System Web Server versions 9.0.0 through 12.*. Upgrade to a version fixed in 2013 to mitigate the risk.
Upgrade to a version of NI System Web Server that includes the fix released in 2013. Plan and test the upgrade carefully to ensure compatibility.
While no active exploitation has been confirmed, the vulnerability's age and simplicity suggest a potential risk of exploitation.
Refer to NI's official security advisories and documentation for specific details and guidance related to CVE-2025-12097.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.