Platform
other
Component
crafty-controller
Opgelost in
4.8.0
CVE-2026-0963 beschrijft een kritieke Path Traversal kwetsbaarheid in de File Operations API Endpoint component van Crafty Controller. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller in staat om bestanden te manipuleren en remote code uit te voeren. De kwetsbaarheid treft versies 4.7.0 tot en met 4.8.0 van Crafty Controller. Een upgrade naar versie 4.8.0 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2026-0963 kan verstrekkende gevolgen hebben. Een aanvaller kan via pad traversal toegang krijgen tot gevoelige bestanden op het systeem, deze wijzigen of zelfs verwijderen. Bovendien kan de aanvaller remote code uitvoeren, waardoor volledige controle over het systeem mogelijk is. Dit kan leiden tot dataverlies, verstoring van de dienstverlening en compromittering van de gehele infrastructuur. De mogelijkheid tot remote code execution maakt dit een bijzonder ernstige kwetsbaarheid, vergelijkbaar met scenario's waarbij een aanvaller een backdoor kan installeren voor latere toegang.
CVE-2026-0963 is openbaar bekend en beschreven. Er is geen informatie beschikbaar over actieve campagnes of KEV-listing. Er zijn momenteel geen publiekelijk beschikbare proof-of-concept exploits bekend, maar de ernst van de kwetsbaarheid suggereert dat dit in de toekomst kan veranderen. De publicatiedatum van de CVE is 2026-01-30.
Organizations using Crafty Controller in environments where the File Operations API Endpoint is exposed to authenticated users are at risk. This includes deployments with custom integrations or applications that rely on this API. Legacy configurations with weak access controls are particularly vulnerable.
disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-0963 is het upgraden van Crafty Controller naar versie 4.8.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de File Operations API Endpoint. Implementeer strikte toegangscontroles en authenticatieprocedures om te voorkomen dat ongeautoriseerde gebruikers de API kunnen benaderen. Controleer de configuratie van de applicatie op onnodige bestandstoegrechten. Na de upgrade, verifieer de fix door te proberen een pad traversal aanval uit te voeren op de File Operations API Endpoint en te controleren of de toegang wordt geweigerd.
Werk Crafty Controller bij naar versie 4.8.0 of hoger. Deze versie bevat de correctie voor de path traversal kwetsbaarheid. De update zal het risico op bestandstampering en remote code execution verminderen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-0963 is a critical vulnerability allowing authenticated attackers to manipulate files and potentially execute code via path traversal in Crafty Controller's File Operations API Endpoint.
You are affected if you are using Crafty Controller versions 4.7.0 through 4.8.0 and have not upgraded to version 4.8.0 or later.
Upgrade Crafty Controller to version 4.8.0 or later. As a temporary workaround, restrict access to the API and implement strict input validation.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official Crafty Controller security advisory for detailed information and updates regarding CVE-2026-0963.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.