CRITICAL🇬🇧 English

CVE-2024-45168

UCI IDOL 2: brak uwierzytelnienia w komunikacji przez raw socket

CVSS 9.1v3.1pub. 2024-08-22upd. 2025-09-03

W aplikacji UCI IDOL 2 (w wersjach do 2.12 włącznie) dane są przesyłane przez niezabezpieczony raw socket bez żadnego mechanizmu uwierzytelnienia. Oznacza to, że strony komunikacji nie mogą być zweryfikowane, co otwiera drogę do poważnych ataków sieciowych.

Pokaż oryginał (EN)

An issue was discovered in UCI IDOL 2 (aka uciIDOL or IDOL2) through 2.12. Data is transferred over a raw socket without any authentication mechanism. Thus, communication endpoints are not verifiable.

🤖 Analiza AI
Jak działa

Aplikacja UCI IDOL 2 przesyła dane za pośrednictwem surowego gniazda sieciowego (raw socket), nie stosując żadnego mechanizmu uwierzytelnienia ani weryfikacji tożsamości punktów końcowych komunikacji. Brak kontroli dostępu (CWE-862) sprawia, że dowolny podmiot w sieci może podłączyć się do kanału komunikacyjnego i wysyłać lub odbierać dane bez konieczności posiadania jakichkolwiek poświadczeń. Atakujący może w ten sposób podszyć się pod uprawniony endpoint lub przechwycić trwającą sesję komunikacyjną.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do przesyłanych danych (naruszenie poufności) oraz manipulować komunikacją — modyfikować lub wstrzykiwać dane (naruszenie integralności). Umożliwia to m.in. ataki typu man-in-the-middle oraz przejęcie kontroli nad sesją komunikacyjną.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent — UCI (uci.de) — opublikował stosowne materiały pod adresem https://uci.de/products/index.html. Do czasu zastosowania poprawki należy ograniczyć dostęp sieciowy do usług UCI IDOL 2 wyłącznie do zaufanych hostów przy użyciu firewalla lub segmentacji sieci.

Kogo dotyczy

UCI IDOL 2 (znane też jako uciIDOL lub IDOL2) w wersjach do 2.12 włącznie

Uwagi

Podatność została zgłoszona i opisana przez firmę SySS GmbH w ramach procesu responsible disclosure (identyfikator SYSS-2024-049). Szczegółowy advisory dostępny jest pod adresem https://www.syss.de/fileadmin/dokumente/Publikationen/Advisories/SYSS-2024-049.txt

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Uci Idol2

    APP
    Uci
    ≤ 2.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-45166CRITICAL9.8PL ✓ten sam produkt

RCE i DoS w UCI IDOL 2 przez błędną deserializację i przepełnienie bufora

CVE-2024-45167CRITICAL9.8PL ✓ten sam produkt

RCE i DoS w UCI IDOL 2 przez improper input validation i deserializację

CVE-2024-45169CRITICAL9.8PL ✓ten sam produkt

RCE i DoS w UCI IDOL 2 przez nieprawidłową deserializację i walidację danych

CVE-2024-45165MEDIUM5.3ten sam produkt

An issue was discovered in UCI IDOL 2 (aka uciIDOL or IDOL2) through 2.12. Data is sent between client and ser...

CVE-2024-45168 — UCI IDOL 2: brak uwierzytelnienia w komunikacji przez raw socket — CRITICAL 9.1 | CVEbaza.pl