Plataforma
other
Componente
crystal-live-http-server
Uma vulnerabilidade de Path Traversal foi descoberta no Crystal Live HTTP Server versão 6.01. Essa falha permite que atacantes remotos acessem arquivos do sistema, incluindo arquivos de configuração do Windows, ao manipular segmentos de caminho da URL. A exploração bem-sucedida pode levar à divulgação de informações confidenciais e comprometer a integridade do sistema. A correção para esta vulnerabilidade está pendente de lançamento.
A vulnerabilidade de Path Traversal no Crystal Live HTTP Server permite que um atacante navegue fora do diretório raiz da web, utilizando sequências múltiplas de '../' em solicitações HTTP. Isso possibilita o acesso a arquivos sensíveis armazenados no sistema de arquivos, como arquivos de configuração, logs e até mesmo arquivos do sistema operacional Windows. Um atacante poderia, por exemplo, obter informações de credenciais armazenadas em arquivos de configuração, ou acessar dados confidenciais contidos em logs. A exploração desta vulnerabilidade pode resultar em uma ampla divulgação de informações e, potencialmente, permitir a escalada de privilégios.
Atualmente, não há relatos públicos de exploração ativa do CVE-2019-25352. A vulnerabilidade foi publicada em 2026-02-18. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do Crystal Live HTTP Server na internet e da implementação de medidas de segurança preventivas. Não está listado no KEV da CISA.
Systems utilizing Crystal Live HTTP Server version 6.01–6.01, particularly those deployed in environments with limited network segmentation or exposed to the internet, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable.
disclosure
Status do Exploit
EPSS
0.46% (percentil 64%)
CISA SSVC
Vetor CVSS
Como uma correção oficial para o CVE-2019-25352 ainda não foi disponibilizada, a mitigação imediata deve focar em restringir o acesso a arquivos sensíveis. Implemente regras de firewall para bloquear o acesso não autorizado a diretórios críticos. Considere a utilização de um servidor web proxy ou WAF (Web Application Firewall) para filtrar solicitações maliciosas que contenham sequências de '..'. Além disso, revise as permissões de arquivos e diretórios para garantir que apenas usuários autorizados tenham acesso a dados confidenciais. Monitore logs de acesso do servidor web em busca de padrões suspeitos, como solicitações com múltiplos '..' em seus caminhos.
Actualizar a una versión parcheada del Crystal Live HTTP Server que solucione la vulnerabilidad de path traversal. Si no hay una versión disponible, considerar deshabilitar el servicio o implementar medidas de seguridad adicionales, como restringir el acceso a archivos sensibles y validar las entradas de la URL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-25352 is a vulnerability allowing attackers to access files outside the intended web root in Crystal Live HTTP Server 6.01–6.01 by manipulating URL paths.
If you are running Crystal Live HTTP Server version 6.01–6.01, you are potentially affected by this vulnerability. Upgrade is the recommended solution.
Upgrade to a patched version of Crystal Live HTTP Server. If a patch is unavailable, implement WAF rules and restrict access to the server.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for future attacks. Proactive mitigation is recommended.
Official advisories may be available on the Crystal Live HTTP Server website or through security mailing lists. Check vendor resources for updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.