Šta se desilo?

Otkrivena je ozbiljna ranjivost u upravljačkom sistemu ProjeQtor koja omogućava napadačima da pristupe datotekama izvan predviđenog direktorijuma. Problem postoji u komponenti za pregled log datoteka (dynamicDialog.php), gde sistem ne proverava ulazne podatke što omogućava zloupotrebo putanja. Napadač sa validnim pristupom može pročitati osetljive log datoteke na serveru.

Koga pogađa?

Opasnosti se tiču svih organizacija koje koriste ProjeQtor verzije od 7.0 do 12.4.3 za upravljanje projektima. Posebno su ranjive sisteme gde imaju autentificirane korisnike, ali i one gde administrator nije mogao da ažurira softver na vreme. Timovi za razvoj softvera, agencije, poslovne institucije i svi korisnici starijih verzija nalaze se u riziku.

Kako se zaštititi?

  • Odmah ažurirajte ProjeQtor na verziju 12.4.4 ili noviju
  • Ako ažuriranje nije moguće, ograničite pristup dinamičkim log viewerima kroz veb firewall ili kontrolu pristupa
  • Pratite log datoteke sistema za sumnjive pokušaje pristupa datotekama sa redoslednim znakovima (..)
  • Redovno pregledajte pristupe autentificiranih korisnika i revokuјte nepotrebne privilegije
  • Implementirajte segmentaciju mreže da se smanji mogućnost lateralnog kretanja u slučaju kompromitovanja

Tehnički detalji

CVE identifikator je CVE-2026-41465 sa CVSS skorom od 7.1 (VISOKI nivo ozbiljnosti). Ranjivost je tipa path traversal kroz parametar logname u datoteci dynamicDialog.php. Napadač može koristiti sekvence kao ../ da navigira kroz direktorijumsku strukturu i pristupi log datotekama koje su dostupne veb serverskom procesu. Registrovana je 27. aprila 2026. godine.

Preporuka Sajber Radara

Korisnicima ProjeQtor-a preporučujemo hitno ažuriranje na verziju 12.4.4 ili noviju, čim je to moguće. Ova ranjivost omogućava direktan pristup osetljivim informacijama i ne treba je olako shvatiti - hitno preduzimite mere!