CRITICAL✓ PATCH🇬🇧 English

CVE-2025-11367

RCE przez deserialization w N-Able N-Central Software Probe

CVSS 10.0v4.0pub. 2025-11-12upd. 2025-11-14

Podatność w komponencie N-central Software Probe (wersje przed 2025.4) umożliwia zdalne wykonanie kodu (RCE) poprzez niebezpieczną deserializację danych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla infrastruktury zarządzanej przez N-Able N-Central.

Pokaż oryginał (EN)

The N-central Software Probe < 2025.4 is vulnerable to Remote Code Execution via deserialization

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-502 (Deserialization of Untrusted Data) polega na tym, że komponent Software Probe przetwarza zewnętrznie dostarczone dane serializowane bez odpowiedniej walidacji ich pochodzenia i zawartości. Atakujący niewymagający żadnego uwierzytelnienia może dostarczyć spreparowany payload poprzez sieć, który podczas deserializacji zostaje wykonany w kontekście procesu usługi. Wektor ataku jest sieciowy, bez interakcji użytkownika i bez wymaganych uprawnień, co oznacza pełną zdalna eksploatację.

Skutki

Atakujący może uzyskać zdalne wykonanie dowolnego kodu na systemie, na którym działa N-central Software Probe, a wysoki wpływ na poufność, integralność i dostępność zarówno systemu lokalnego, jak i systemów powiązanych wskazuje na możliwość całkowitego przejęcia kontroli oraz potencjalny lateral movement w zarządzanej infrastrukturze.

Mitygacja

Należy jak najszybciej zaktualizować N-central Software Probe do wersji 2025.4 lub nowszej. Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach. Do czasu aktualizacji należy rozważyć ograniczenie dostępu sieciowego do portów używanych przez Software Probe wyłącznie do zaufanych źródeł.

Kogo dotyczy

N-Able N-Central Software Probe w wersjach wcześniejszych niż 2025.4 (komponent działający na systemach Windows).

Uwagi

Podatność dotyczy wyłącznie komponentu Software Probe działającego na systemach Windows, co wynika z oficjalnego advisory producenta (N-central Windows Software Probe Remote Code Execution). Data publikacji advisory: 12 listopada 2025.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • N Able N Central

    APP
    N-Able
    < 2025.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2025-8875CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Deserializacja niezaufanych danych w N-Able N-Central umożliwia RCE

CVE-2025-8876CRITICAL9.4⚠ KEVPL ✓ten sam produkt

OS Command Injection w N-able N-central (przed wersją 2025.3.1)

CVE-2025-11366CRITICAL9.4PL ✓ten sam produkt

Authentication bypass via path traversal w N-Able N-Central

CVE-2024-28200CRITICAL9.1PL ✓ten sam produkt

Authentication Bypass interfejsu użytkownika w N-Able N-Central

CVE-2024-5322CRITICAL9.1PL ✓ten sam produkt

Authentication Bypass w N-Able N-Central poprzez session rebinding (Entra SSO)