Plataforma
other
Componente
statistics-database-system
Corrigido em
1.0.4
O Statistics Database System, desenvolvido pela Gotac, apresenta uma vulnerabilidade de Acesso Arbitrário de Arquivos (AFAR). Essa falha permite que atacantes remotos não autenticados explorem a possibilidade de percurso relativo de caminho (Relative Path Traversal) para baixar arquivos do sistema. As versões afetadas são da 0 até a 1.0.3. A versão 1.0.4 corrige essa vulnerabilidade.
Um atacante explorando essa vulnerabilidade pode ler arquivos arbitrários no sistema onde o Statistics Database System está instalado. Isso inclui arquivos de configuração, código-fonte, dados sensíveis e até mesmo arquivos do sistema operacional. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, a execução de código malicioso. A ausência de autenticação necessária para a exploração aumenta significativamente o risco, tornando o sistema vulnerável a ataques de qualquer usuário da rede.
A vulnerabilidade foi divulgada em 16 de janeiro de 2026. Não há informações disponíveis sobre a existência de um Proof of Concept (PoC) público ou campanhas de exploração ativas no momento. A vulnerabilidade não está listada no Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA.
Organizations utilizing the Statistics Database System in production environments, particularly those with publicly accessible instances, are at risk. Systems with default configurations or those lacking robust access controls are especially vulnerable. Shared hosting environments where multiple users share the same server are also at increased risk, as a compromise of one user's Statistics Database System instance could potentially expose data from other users.
• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../etc/passwd' # Check for file access• other / generic web:
grep -r 'path traversal' /var/log/apache2/access.log # Look for suspicious requests in logs• other / generic web:
curl -I 'http://your-statistics-db-system/../../../../' # Check for directory listingdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a aplicação da atualização para a versão 1.0.4 do Statistics Database System. Se a atualização não for possível no momento, implemente restrições de acesso ao diretório onde o Statistics Database System está instalado, limitando o acesso apenas a usuários autorizados. Valide rigorosamente todas as entradas do usuário para evitar a manipulação de caminhos de arquivo. Considere a implementação de um Web Application Firewall (WAF) com regras para bloquear tentativas de percurso de caminho. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados.
Actualice el Statistics Database System a una versión posterior a la 1.0.3 para corregir la vulnerabilidad de lectura arbitraria de archivos. Si no es posible actualizar, implemente medidas de seguridad adicionales para restringir el acceso a archivos sensibles y valide las entradas del usuario para evitar el recorrido de directorios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1022 is a HIGH severity vulnerability allowing unauthenticated attackers to read arbitrary files on a server running Statistics Database System due to a Relative Path Traversal flaw.
You are affected if you are running Statistics Database System versions 0.0 through 1.0.3. Upgrade to 1.0.4 to resolve the issue.
Upgrade to version 1.0.4 or later. As a temporary workaround, restrict access to the vulnerable endpoint using a WAF or proxy server.
While no public exploits are currently known, the vulnerability's simplicity suggests a medium probability of exploitation.
Refer to the Gotac website or relevant security mailing lists for the official advisory regarding CVE-2026-1022.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.