N-Able N-Central w wersjach starszych niż 2025.4 zawiera krytyczną podatność umożliwiającą ominięcie uwierzytelnienia poprzez path traversal. Ze względu na wysoki wynik CVSS 9.4 i możliwość zdalnego wykorzystania bez interakcji użytkownika, stanowi poważne zagrożenie dla infrastruktury zarządzanej IT.
▸ Pokaż oryginał (EN)
N-central < 2025.4 is vulnerable to authentication bypass via path traversal
Podatność sklasyfikowana jako CWE-22 (path traversal) pozwala atakującemu na manipulowanie ścieżkami żądań sieciowych w taki sposób, by ominąć mechanizmy uwierzytelnienia aplikacji. Atakujący posiadający jedynie konto z niskim poziomem uprawnień (PR:L) może wysłać odpowiednio spreparowane żądanie HTTP zawierające sekwencje path traversal, które skutkują dostępem do chronionych zasobów bez wymaganej autoryzacji. Wektor ataku jest sieciowy, bez konieczności fizycznego dostępu ani interakcji po stronie ofiary.
Pomyślne wykorzystanie podatności pozwala atakującemu na ominięcie mechanizmów uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do systemu N-Central, co zgodnie z wektorem CVSS wiąże się z wysokim wpływem na poufność, integralność i dostępność zarówno samego systemu, jak i systemów powiązanych.
Należy niezwłocznie zaktualizować N-Able N-Central do wersji 2025.4 lub nowszej. Szczegółowe informacje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.
N-Able N-Central w wersjach poprzedzających 2025.4
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XN Able N Central
APPN-Able< 2025.4
Powiązane podatności
Deserializacja niezaufanych danych w N-Able N-Central umożliwia RCE
OS Command Injection w N-able N-central (przed wersją 2025.3.1)
RCE przez deserialization w N-Able N-Central Software Probe
Authentication Bypass interfejsu użytkownika w N-Able N-Central
Authentication Bypass w N-Able N-Central poprzez session rebinding (Entra SSO)