CRITICAL🇬🇧 English

CVE-2025-26853

Descor Infocad — złamany schemat autoryzacji (CVSS 10.0)

CVSS 10.0v3.1pub. 2025-03-20upd. 2025-04-23

Descor Infocad w wersji 3.5.1 i wcześniejszych posiada krytyczną podatność polegającą na nieprawidłowej implementacji mechanizmu autoryzacji. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalny dostęp do chronionych zasobów systemu bez żadnych ograniczeń sieciowych.

Pokaż oryginał (EN)

DESCOR INFOCAD 3.5.1 and before and fixed in v.3.5.2.0 has a broken authorization schema.

🤖 Analiza AI
Jak działa

Podatność wynika z błędów w schemacie autoryzacji (CWE-863: nieprawidłowa weryfikacja uprawnień, CWE-862: brak weryfikacji uprawnień). System nie sprawdza poprawnie, czy żądający dostępu użytkownik posiada odpowiednie uprawnienia, co pozwala ominąć mechanizmy kontroli dostępu. Atakujący może wysyłać żądania do chronionych zasobów bez konieczności posiadania ważnej sesji ani poświadczeń. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani żadnych uprawnień po stronie atakującego.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem — w tym poufność, integralność i dostępność danych — bez uwierzytelnienia i z dowolnej lokalizacji sieciowej. Maksymalny wynik CVSS 10.0 wskazuje na możliwość całkowitego przejęcia systemu oraz wpływ wykraczający poza sam komponent (Scope: Changed).

Mitygacja

Należy pilnie zaktualizować oprogramowanie Descor Infocad do wersji 3.5.2.0 lub nowszej, w której błąd został naprawiony. Szczegóły dostępne w dokumentacji producenta pod adresem: https://www.infocadfm.com/changelog/broken-authorization-schema/

Kogo dotyczy

Descor Infocad w wersji 3.5.1 oraz wszystkich wcześniejszych wersjach.

Uwagi

Podatność została naprawiona w wersji 3.5.2.0 zgodnie z informacją producenta zawartą w opisie oryginalnym.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Descor Infocad

    APP
    Descor
    < 3.5.2.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-26852CRITICAL10.0PL ✓ten sam produkt

SQL Injection w Descor Infocad — nieautoryzowany pełny dostęp do systemu

CVE-2018-13789HIGH7.5ten sam vendor

An issue was discovered in Descor Infocad FM before 3.1.0.0. An unauthenticated web service allows the retriev...