CRITICAL✓ PATCH🇬🇧 English

CVE-2025-13315

Twonky Server – pominięcie uwierzytelniania API (auth bypass) w wersji 8.5.2

CVSS 9.3v4.0pub. 2025-11-19upd. 2025-12-02

Twonky Server 8.5.2 na systemach Linux i Windows zawiera podatność umożliwiającą nieuwierzytelnionemu atakującemu obejście mechanizmów kontroli dostępu do API serwisu webowego. Skutkuje to wyciekiem pliku dziennika zawierającego nazwę użytkownika oraz zaszyfrowane hasło administratora.

Pokaż oryginał (EN)

Twonky Server 8.5.2 on Linux and Windows is vulnerable to an access control flaw. An unauthenticated attacker can bypass web service API authentication controls to leak a log file and read the administrator's username and encrypted password.

🤖 Analiza AI
Jak działa

Podatność wynika z błędu w kontroli dostępu (CWE-420 – niekompletna lub pomijana ścieżka uwierzytelniania) w interfejsie API serwisu webowego Twonky Server. Atakujący bez żadnych poświadczeń może wysłać odpowiednio spreparowane żądanie do API i ominąć wymagane mechanizmy uwierzytelniania. W wyniku tego możliwe jest pobranie pliku dziennika (log file), który zawiera wrażliwe dane – nazwę użytkownika administratora oraz jego zaszyfrowane hasło. Uzyskane dane mogą posłużyć do dalszych ataków, np. prób złamania hasła.

Skutki

Atakujący może bez uwierzytelniania uzyskać dostęp do pliku dziennika aplikacji i odczytać z niego nazwę konta oraz zaszyfrowane hasło administratora, co może prowadzić do pełnego przejęcia konta administracyjnego.

Mitygacja

Zgodnie z informacją zawartą w referencjach producenta podatność nie została naprawiona (not fixed). Należy monitorować stronę producenta (Lynx Technology) pod kątem wydania patcha oraz śledzić publikacje dostępne pod wskazanym adresem Rapid7. Do czasu wydania poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu webowego Twonky Server wyłącznie do zaufanych hostów (np. za pomocą firewall lub reguł sieciowych) oraz unikanie eksponowania usługi na publiczne interfejsy sieciowe.

Kogo dotyczy

Twonky Server w wersji 8.5.2 działający na systemach Linux oraz Windows.

Uwagi

Zgodnie z referencją Rapid7 (CVE-2025-13315 oraz CVE-2025-13316) podatność nie posiada dostępnego patcha od producenta (status: not fixed) według stanu na datę publikacji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Lynxtechnology Twonky Server

    APP
    Lynxtechnology
    8.5.2
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit