CRITICAL🇬🇧 English

CVE-2025-12479

Brak implementacji tokenów CSRF w urządzeniach Azure-Access BLU-IC2/IC4

CVSS 10.0v4.0pub. 2025-10-29upd. 2025-11-07

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 w wersjach do 1.19.5 są podatne na ataki Cross-Site Request Forgery (CSRF) z powodu systemowego braku implementacji tokenów CSRF. Podatność otrzymała ocenę CVSS 10.0, co oznacza krytyczne zagrożenie możliwe do wykorzystania przez nieuwierzytelnionego atakującego zdalnie.

Pokaż oryginał (EN)

Systemic Lack of Cross-Site Request Forgery (CSRF) Token Implementation.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5 .

🤖 Analiza AI
Jak działa

CWE-352 (Cross-Site Request Forgery) polega na tym, że aplikacja webowa zarządzająca urządzeniem nie weryfikuje, czy przychodzące żądania HTTP rzeczywiście pochodzą od uprawnionego użytkownika. Atakujący może nakłonić zalogowanego użytkownika do odwiedzenia złośliwej strony lub kliknięcia przygotowanego odnośnika, co spowoduje nieświadome wysłanie żądań do urządzenia w kontekście jego aktywnej sesji. Urządzenie, nie posiadając żadnych tokenów CSRF, akceptuje takie żądania jako prawidłowe. Problem ma charakter systemowy — brak ochrony CSRF dotyczy całej aplikacji, a nie pojedynczego endpointu.

Skutki

Atakujący może zdalnie wykonywać nieautoryzowane operacje na urządzeniu z uprawnieniami zalogowanego użytkownika, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, zmiany jego konfiguracji, naruszenia poufności i integralności danych oraz wpływu na dostępność systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniami wyłącznie do zaufanych sieci wewnętrznych oraz unikanie przeglądania innych stron internetowych podczas aktywnej sesji administracyjnej.

Kogo dotyczy

Azure-Access BLU-IC2 (firmware) w wersjach do 1.19.5 włącznie oraz Azure-Access BLU-IC4 (firmware) w wersjach do 1.19.5 włącznie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Azure Access Blu Ic2

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic2 Firmware

    OS
    Azure-Access
    < 1.20
  • Azure Access Blu Ic4

    HW
    Azure-Access
    wszystkie wersje
  • Azure Access Blu Ic4 Firmware

    OS
    Azure-Access
    < 1.20
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-12600CRITICAL10.0PL ✓ten sam produkt

Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12601CRITICAL10.0PL ✓ten sam produkt

Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4

CVE-2025-12599CRITICAL10.0PL ✓ten sam produkt

Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4

CVE-2025-12553CRITICAL10.0PL ✓ten sam produkt

Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4

CVE-2025-12515CRITICAL10.0PL ✓ten sam produkt

Systemiczne błędy wewnętrzne serwera (HTTP 500) w Azure-Access BLU-IC2 i BLU-IC4