CRITICAL🇬🇧 English

CVE-2025-12422

Path Traversal w funkcji aktualizacji firmware Azure-Access BLU-IC2/IC4

CVSS 10.0v4.0pub. 2025-10-28upd. 2025-11-07

Podatność w mechanizmie aktualizacji urządzeń Azure-Access BLU-IC2 i BLU-IC4 umożliwia niekontrolowany zapis dowolnych plików na urządzeniu (Arbitrary File Write). Błąd otrzymał maksymalną ocenę CVSS 10.0, co czyni go podatnością krytyczną wymagającą natychmiastowej reakcji.

Pokaż oryginał (EN)

Vulnerable Upgrade Feature (Arbitrary File Write) may lead to obtaining super user permissions on board.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-22 (path traversal) tkwi w funkcji obsługi aktualizacji oprogramowania układowego (firmware). Nieuwierzytelniony atakujący zdalnie może dostarczyć spreparowany pakiet aktualizacyjny zawierający ścieżki z sekwencjami typu '../', które pozwalają na zapis plików poza dozwolonym katalogiem docelowym. Dzięki temu możliwe jest nadpisanie krytycznych plików systemowych lub umieszczenie złośliwych plików w dowolnym miejscu systemu plików urządzenia.

Skutki

Skuteczne wykorzystanie podatności prowadzi do uzyskania uprawnień superużytkownika (root) na urządzeniu, co oznacza pełne przejęcie kontroli nad urządzeniem przez atakującego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji zaleca się izolację urządzeń od niezaufanych sieci oraz ograniczenie dostępu sieciowego do interfejsu aktualizacji firmware wyłącznie do zaufanych hostów.

Kogo dotyczy

Azure-Access BLU-IC2 we wszystkich wersjach firmware do 1.19.5 włącznie oraz Azure-Access BLU-IC4 we wszystkich wersjach firmware do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12516CRITICAL10.0PL ✓ten sam produkt

Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4