An input neutralization vulnerability in the File Operations API Endpoint component of Crafty Controller allows a remote, authenticated attacker to perform file tampering and remote code execution via path traversal.
A critical path traversal vulnerability in Crafty Controller's File Operations API allows authenticated attackers to bypass input validation and manipulate files on the system. This vulnerability enables remote code execution through file tampering, posing severe risks to system integrity and confidentiality.
تؤثر هذه الثغرة الأمنية الحرجة على مكون واجهة برمجة عمليات الملفات في Crafty Controller، وهو نظام إدارة خوادم الألعاب. يستغل المهاجمون المصادق عليهم نقاط ضعف في تحييد المدخلات للتلاعب بمسارات الملفات باستخدام تقنيات اجتياز المسار مثل استخدام النقاط المزدوجة والشرطات المائلة. يمكن للمهاجم الوصول إلى ملفات النظام الحساسة خارج الدليل المخصص، مما يتيح قراءة أو تعديل أو حذف ملفات التكوين الحرجة. الخطورة الأكبر تكمن في إمكانية تحميل ملفات ضارة إلى مواقع النظام الحساسة وتنفيذها، مما يمنح المهاجم السيطرة الكاملة على الخادم. تشكل هذه الثغرة تهديداً خطيراً للمؤسسات السعودية التي تستخدم هذا النظام في بيئات الإنتاج، خاصة في ظل عدم توفر تصحيح أمني رسمي حتى الآن.
تم اكتشاف ثغرة أمنية حرجة في اجتياز المسار (CVE-2026-0963) في الإصدار 4.7.0 من Crafty Controller، وتحديداً في مكون واجهة برمجة عمليات الملفات. تسمح هذه الثغرة من نوع CWE-22 للمهاجمين المصادق عليهم عن بُعد بتجاوز ضوابط التحقق من صحة المدخلات والتلاعب بمسارات الملفات، مما يؤدي إلى العبث غير المصرح به بالملفات وتنفيذ التعليمات البرمجية عن بُعد. مع درجة خطورة 9.9 على مقياس CVSS، تمثل هذه الثغرة خطراً أمنياً شديداً، خاصة في ظل عدم توفر تصحيح أمني أو استغلال حالياً، مما يستدعي اتخاذ تدابير تخفيف فورية.
Immediately update Crafty Controller to the latest patched version and implement strict input validation with path canonicalization for all file operation endpoints.
قم بتحديث Crafty Controller فوراً إلى أحدث إصدار وتطبيق التحقق الصارم من المدخلات مع تطبيع المسارات على جميع نقاط نهاية عمليات الملفات.