CRITICAL🇬🇧 English

CVE-2025-30184

CyberData 011209 Intercom — ominięcie uwierzytelnienia w interfejsie Web

CVSS 9.3v4.0pub. 2025-06-09upd. 2025-08-12

Podatność w urządzeniu CyberData 011209 SIP Emergency Intercom umożliwia nieuwierzytelnionemu atakującemu dostęp do interfejsu webowego poprzez alternatywną ścieżkę. Ocena CVSS 9.3 (CRITICAL) wskazuje na bardzo wysokie ryzyko, szczególnie w środowiskach przemysłowych i obiektowych.

Pokaż oryginał (EN)

CyberData 011209 Intercom could allow an unauthenticated user access to the Web Interface through an alternate path.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na tym, że mechanizm uwierzytelnienia nie jest egzekwowany dla wszystkich ścieżek dostępu do interfejsu webowego urządzenia. Atakujący może dotrzeć do chronionego interfejsu zarządczego, omijając standardową procedurę logowania poprzez niechronioną alternatywną ścieżkę URL lub kanał dostępu. Atak nie wymaga żadnych uprawnień, interakcji użytkownika ani skomplikowanych warunków — wystarczy dostęp sieciowy do urządzenia.

Skutki

Nieuwierzytelniony atakujący uzyskuje pełny dostęp do interfejsu webowego urządzenia, co może umożliwić przejęcie kontroli nad konfiguracją interkomu, modyfikację ustawień SIP, zakłócenie komunikacji awaryjnej lub dalsze działania w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o aktualizacji firmware zawiera poradnik CISA ICS-CERT o numerze ICSA-25-155-01 (https://www.cisa.gov/news-events/ics-advisories/icsa-25-155-01). Do czasu wdrożenia łatki zaleca się ograniczenie dostępu sieciowego do interfejsu zarządczego urządzenia wyłącznie do zaufanych hostów/sieci, np. poprzez firewall lub segmentację sieci.

Kogo dotyczy

CyberData 011209 SIP Emergency Intercom oraz powiązane oprogramowanie firmware (wersje wskazane w referencjach producenta / poradniku CISA ICSA-25-155-01)

Uwagi

Podatność dotyczy urządzenia stosowanego w systemach komunikacji awaryjnej (SIP Emergency Intercom), co zwiększa potencjalne konsekwencje w środowiskach przemysłowych i infrastruktury krytycznej. Poradnik bezpieczeństwa opublikowany przez CISA w ramach serii ICS Advisories (ICSA-25-155-01).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Cyberdata 011209 Sip Emergency Intercom

    HW
    Cyberdata
    wszystkie wersje
  • Cyberdata 011209 Sip Emergency Intercom Firmware

    OS
    Cyberdata
    < 22.0.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-30515CRITICAL9.3PL ✓ten sam produkt

CyberData 011209 SIP Intercom — nieautoryzowane przesyłanie plików (path traversal)

CVE-2025-26468HIGH8.7ten sam produkt

CyberData  011209 Intercom exposes features that could allow an unauthenticated to gain access and cause a...

CVE-2025-30183HIGH8.7ten sam produkt

CyberData 011209 Intercom does not properly store or protect web server admin credentials.

CVE-2025-30507MEDIUM6.9ten sam produkt

CyberData 011209 Intercom could allow an unauthenticated user to gather sensitive information through blind SQ...