CRITICAL🇬🇧 English

CVE-2022-50696

Zakodowane na stałe dane logowania w urządzeniach SOUND4 IMPACT/FIRST/PULSE/Eco

CVSS 9.3v4.0pub. 2025-12-30upd. 2026-01-16

Urządzenia SOUND4 IMPACT/FIRST/PULSE/Eco w wersjach 2.x i niższych zawierają niemodyfikowalne dane logowania zakodowane na stałe w binarnych plikach serwera. Podatność pozwala atakującemu na nieuprawniony dostęp do urządzenia bez jakiejkolwiek interakcji ze strony użytkownika.

Pokaż oryginał (EN)

SOUND4 IMPACT/FIRST/PULSE/Eco versions 2.x and below contain hardcoded credentials embedded in server binaries that cannot be modified through normal device operations. Attackers can leverage these static credentials to gain unauthorized access to the device across Linux and Windows distributions without requiring user interaction.

🤖 Analiza AI
Jak działa

Statyczne dane uwierzytelniające (login i hasło) są wbudowane bezpośrednio w binarne pliki serwera i nie mogą zostać zmienione w ramach normalnej eksploatacji urządzenia. Atakujący posiadający wiedzę o tych kredencjalach może zalogować się do urządzenia zdalnie przez sieć, omijając całkowicie mechanizmy kontroli dostępu. Podatność dotyczy zarówno środowisk Linux, jak i Windows, a do jej wykorzystania nie jest wymagana żadna interakcja ze strony ofiary ani uwierzytelnienie wstępne.

Skutki

Atakujący może uzyskać pełny nieuprawniony dostęp do urządzenia, co może prowadzić do przejęcia kontroli nad nim, naruszenia poufności i integralności przetwarzanych danych oraz potencjalnego zakłócenia jego działania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również izolację sieciową urządzeń SOUND4 (np. umieszczenie za firewall, ograniczenie dostępu sieciowego wyłącznie do zaufanych hostów) do czasu wdrożenia aktualizacji.

Kogo dotyczy

SOUND4 IMPACT, SOUND4 FIRST, SOUND4 PULSE, SOUND4 Eco — wersje 2.x i niższe (w tym warianty firmware dla Sound4 Pulse Eco, Sound4 Big Voice2, Sound4 Big Voice4)

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez ZeroScience Lab jako ZSL-2022-5729 oraz udostępnione w serwisie Packet Storm Security. Dostępny jest publiczny proof-of-concept.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Sound4 Big Voice2

    HW
    Sound4
    wszystkie wersje
  • Sound4 Big Voice2 Firmware

    OS
    Sound4
    1.30
  • Sound4 Big Voice4

    HW
    Sound4
    wszystkie wersje
  • Sound4 Big Voice4 Firmware

    OS
    Sound4
    1.2
  • Sound4 First

    HW
    Sound4
    1.02.0
  • Sound4 First Firmware

    OS
    Sound4
    1.692.15
  • Sound4 Impact

    HW
    Sound4
    1.02.0
  • Sound4 Impact Eco

    HW
    Sound4
    wszystkie wersje
  • Sound4 Impact Eco Firmware

    OS
    Sound4
    1.16
  • Sound4 Impact Firmware

    OS
    Sound4
    1.692.15
  • Sound4 Pulse

    HW
    Sound4
    1.02.0
  • Sound4 Pulse Eco

    HW
    Sound4
    wszystkie wersje
  • Sound4 Pulse Eco Firmware

    OS
    Sound4
    1.16
  • Sound4 Pulse Firmware

    OS
    Sound4
    1.692.15
  • Sound4 Stream Extension

    APP
    Sound4
    2.4.29
  • Sound4 Wm2

    HW
    Sound4
    wszystkie wersje
  • Sound4 Wm2 Firmware

    OS
    Sound4
    1.11
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-50796CRITICAL9.3PL ✓ten sam produkt

RCE i path traversal w firmware upload SOUND4 IMPACT/FIRST/PULSE/Eco

CVE-2022-50794CRITICAL9.3PL ✓ten sam produkt

Command injection w parametrze username — SOUND4 IMPACT/FIRST/PULSE/Eco

CVE-2023-53960CRITICAL9.3PL ✓ten sam produkt

SQL Injection w mechanizmie logowania SOUND4 IMPACT/FIRST/PULSE/Eco

CVE-2023-53955CRITICAL9.3PL ✓ten sam produkt

IDOR w SOUND4 IMPACT/FIRST/PULSE/Eco v2.x — pominięcie autoryzacji

CVE-2023-53963CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony OS command injection w SOUND4 IMPACT/FIRST/PULSE/Eco v2.x