Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2026-1605
- Název závislosti: jetty-server
- Ovlivněná verze závislosti: 12.0.0-12.0.31, 12.1.0-12.1.5
- Skóre závažnosti: CNA 7.5 High
Dotčené verze DPGW
- 1.13.13-REL – 1.13.16-REL
- 1.12.09-REL – 1.12.39-REL
- 1.11.16-REL – 1.11.43-REL
Posouzení rizik a použitelnosti
Použití
DPGW utilizes the Jetty as the webserver to handle all clients.
Analýza
Vulnerability is directly linked to the webserver and it does not require any kind of authorization to perform this attack. In case where webserver port(s) is reachable from the external network (internet), anybody can crash the DPGW on sending malicious HTTP request.
Stav
Ovlivněno
Skóre závažnosti v kontextu DPGW: 8.7 High
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Dopad na DPGW
Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: selhání JVM, které by vedlo k dočasné nedostupnosti služby.
Náprava a zmírnění dopadů
Oprava
Aktualizujte na verzi: 1.13.17-REL nebo novější, 1.12.40-REL nebo novější, 1.11.44-REL nebo novější.
Akce uživatele
Uživatelé mohou tuto zranitelnost omezit tím, že v souboru dpgw.xml deaktivují kompresi gzip.