CRITICAL🇬🇧 English

CVE-2025-29270

Pominięcie uwierzytelnienia w endpoint realtime.cgi urządzeń Deep Sea Electronics DSE855

CVSS 10.0v3.1pub. 2025-10-31upd. 2026-04-15

Nieprawidłowa kontrola dostępu w endpoint realtime.cgi urządzeń DSE855 firmy Deep Sea Electronics umożliwia nieuwierzytelnionemu atakującemu przejęcie pełnej kontroli nad urządzeniem. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.

Pokaż oryginał (EN)

Incorrect access control in the realtime.cgi endpoint of Deep Sea Electronics devices DSE855 v1.1.0 to v1.1.26 allows attackers to gain access to the admin panel and complete control of the device.

🤖 Analiza AI
Jak działa

Endpoint realtime.cgi na urządzeniach DSE855 nie wymusza właściwej weryfikacji uprawnień dostępu. Atakujący może bez żadnego uwierzytelnienia, zdalnie i bez interakcji użytkownika, uzyskać dostęp do panelu administracyjnego urządzenia. W konsekwencji możliwe jest przejęcie pełnej kontroli nad urządzeniem bez znajomości jakichkolwiek danych logowania.

Skutki

Atakujący uzyskuje nieograniczony dostęp do panelu administracyjnego urządzenia DSE855 oraz pełną kontrolę nad jego działaniem, co może obejmować odczyt poufnych danych konfiguracyjnych, modyfikację ustawień oraz zakłócenie pracy urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się izolację urządzeń DSE855 od sieci publicznych, ograniczenie dostępu do endpoint realtime.cgi na poziomie firewall oraz stosowanie segmentacji sieci.

Kogo dotyczy

Deep Sea Electronics DSE855 w wersjach od v1.1.0 do v1.1.26 włącznie.

Uwagi

Szczegóły techniczne podatności zostały opisane na blogu byteray.co.uk pod tytułem 'Shadow Entry – Discovery of Authentication Bypass Vulnerability in DSE855 Communications Device'. Urządzenia DSE855 są stosowane w przemysłowych systemach zarządzania generatorami i sieciami energetycznymi, co podnosi potencjalne ryzyko operacyjne związane z tą podatnością.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje