Plataforma
other
Componente
control-m/agent
Corrigido em
9.0.20.100
9.0.20
9.0.19
Uma vulnerabilidade de path traversal foi identificada no Control-M/Agent, permitindo que um atacante com acesso ao sistema execute ações com privilégios elevados. Essa falha de segurança afeta as versões 9.0.18 até 9.0.20 e possivelmente versões anteriores que não recebem mais suporte. A correção para esta vulnerabilidade está disponível a partir da versão 9.0.20.100.
A exploração bem-sucedida desta vulnerabilidade de path traversal pode permitir que um atacante acesse arquivos e diretórios sensíveis no sistema onde o Control-M/Agent está instalado. Isso pode levar à escalação de privilégios, permitindo que o atacante execute comandos com permissões elevadas, potencialmente comprometendo a integridade e a confidencialidade dos dados. O impacto é amplificado em ambientes onde o Control-M/Agent é executado com privilégios de administrador ou root, pois o atacante pode obter controle total sobre o sistema.
A vulnerabilidade foi divulgada em 2025-09-16. Não há informações disponíveis sobre exploração ativa ou a inclusão em listas como KEV. A pontuação CVSS de 8.8 (HIGH) indica um risco significativo, e a natureza da vulnerabilidade de path traversal a torna potencialmente explorável por atacantes com conhecimento técnico.
Organizations running Control-M/Agent, particularly those using older, out-of-support versions (9.0.18 – 9.0.21) and those with limited access controls on the Agent system, are at significant risk. Shared hosting environments where multiple users share the same system are also particularly vulnerable.
• linux / server: Monitor system logs (journalctl) for unusual file access patterns, particularly attempts to access files outside of the expected Agent directory. Use lsof to identify processes accessing sensitive files.
• windows / supply-chain: Use PowerShell to monitor for unusual process execution or file access. Example: Get-Process | Where-Object {$_.Path -like 'Control-M/Agent'} | Select-Object ProcessName, Path
• generic web: Examine web server access logs for requests containing suspicious path traversal sequences (e.g., ../..).
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Control-M/Agent para a versão 9.0.20.100 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere restringir o acesso ao sistema onde o Control-M/Agent está instalado, implementando controles de acesso rigorosos e monitorando a atividade do sistema em busca de sinais de comprometimento. Implementar regras de firewall para limitar o acesso à rede ao Control-M/Agent também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado.
Actualice Control-M/Agent a la versión 9.0.20.100 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escalada de privilegios local. Consulte el artículo de la base de conocimientos de BMC para obtener más detalles sobre la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-55115 is a Path Traversal vulnerability in Control-M/Agent allowing attackers with system access to potentially escalate privileges. It affects versions 9.0.18–9.0.21.
You are affected if you are running Control-M/Agent versions 9.0.18 through 9.0.21, or potentially earlier unsupported versions. Check your version and upgrade if necessary.
Upgrade Control-M/Agent to version 9.0.20.100 or later to resolve the vulnerability. Restrict access to the Agent system as an interim measure.
As of September 16, 2025, there are no publicly known active exploitation campaigns for CVE-2025-55115, but monitoring is recommended.
Refer to the official Micro Focus security advisory for Control-M/Agent, which should be available on the Micro Focus support website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.