CRITICAL🇬🇧 English

CVE-2025-22940

Nieprawidłowa kontrola dostępu w Adtran 411 ONT — nieautoryzowana zmiana hasła administratora

CVSS 9.1v3.1pub. 2025-03-31upd. 2025-08-18

Podatność w urządzeniu Adtran 411 ONT z oprogramowaniem L80.00.0011.M2 pozwala nieuwierzytelnionemu atakującemu na dowolne ustawienie hasła administratora. Jest to krytyczna luka, ponieważ daje pełną kontrolę nad urządzeniem sieciowym bez jakichkolwiek uprawnień wstępnych.

Pokaż oryginał (EN)

Incorrect access control in Adtran 411 ONT L80.00.0011.M2 allows unauthorized attackers to arbitrarily set the admin password.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kontroli dostępu (CWE-284) w oprogramowaniu urządzenia Adtran 411 ONT. Mechanizm odpowiedzialny za zmianę hasła administratora nie weryfikuje tożsamości ani uprawnień żądającego, co umożliwia każdemu atakującemu mającemu dostęp sieciowy do urządzenia wywołanie tej operacji. Atakujący może zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, nadpisać hasło administratora własną wartością.

Skutki

Atakujący przejmuje pełną kontrolę administracyjną nad urządzeniem Adtran 411 ONT, co prowadzi do utraty poufności i integralności konfiguracji oraz danych. Legalni administratorzy mogą zostać trwale odcięci od zarządzania urządzeniem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania urządzenia wyłącznie do zaufanych adresów IP za pomocą firewall lub list ACL.

Kogo dotyczy

Adtran 411 ONT z wersją oprogramowania L80.00.0011.M2

Uwagi

Szczegółowy opis techniczny podatności wraz z analizą dostępny jest pod adresem https://lanrat.com/posts/adtran-isp-hacking/

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Adtran 411

    HW
    Adtran
    wszystkie wersje
  • Adtran 411 Firmware

    OS
    Adtran
    l80.00.0011.m2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-22937CRITICAL9.8PL ✓ten sam produkt

Privilege escalation w Adtran 411 ONT — krytyczna podatność LPE

CVE-2025-22938CRITICAL9.8PL ✓ten sam produkt

Słabe domyślne hasła w urządzeniu Adtran 411 ONT

CVE-2025-22939CRITICAL9.8PL ✓ten sam produkt

Command injection w usłudze telnet urządzeń Adtran 411 ONT — eskalacja do root

CVE-2025-22941CRITICAL9.8PL ✓ten sam produkt

Command injection w interfejsie webowym Adtran 411 ONT — eskalacja do root

CVE-2022-37661CRITICAL9.8ten sam vendor

SmartRG SR506n 2.5.15 and SR510n 2.6.13 routers are vulnerable to Remote Code Execution (RCE) via the ping hos...

CVE-2025-22940 — Nieprawidłowa kontrola dostępu w Adtran 411 ONT — nieautoryzowana zmiana hasła administratora — CRITICAL 9.1 | CVEbaza.pl