CRITICAL🇬🇧 English

CVE-2025-32440

NetAlertX — ominięcie uwierzytelnienia umożliwia zmianę ustawień (CVSS 10.0)

CVSS 10.0v3.1pub. 2025-05-27upd. 2025-07-11

Przed wersją 25.4.14 aplikacja NetAlertX pozwala nieuwiertelnionemu atakującemu na ominięcie mechanizmu uwierzytelnienia i modyfikację ustawień systemu. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla każdej instalacji dostępnej z sieci.

Pokaż oryginał (EN)

NetAlertX is a network, presence scanner and alert framework. Prior to version 25.4.14, it is possible to bypass the authentication mechanism of NetAlertX to update settings without authentication. An attacker can trigger sensitive functions within util.php by sending crafted requests to /index.php. This issue has been patched in version 25.4.14.

🤖 Analiza AI
Jak działa

Podatność wynika z braku wymagania uwierzytelnienia (CWE-306) dla wrażliwych funkcji obsługiwanych przez plik util.php. Atakujący może wysłać specjalnie spreparowane żądanie HTTP do endpointu /index.php, co pozwala na wyzwolenie tych funkcji z pominięciem jakiejkolwiek weryfikacji tożsamości. W rezultacie możliwa jest nieautoryzowana modyfikacja konfiguracji aplikacji bez posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący bez żadnych uprawnień i z dowolnej lokalizacji sieciowej może modyfikować ustawienia NetAlertX, co może prowadzić do pełnego przejęcia kontroli nad aplikacją, utraty poufności i integralności danych oraz zakłócenia dostępności systemu monitorowania sieci.

Mitygacja

Należy niezwłocznie zaktualizować NetAlertX do wersji 25.4.14 lub nowszej, w której problem został usunięty. Patch dostępny jest w repozytorium projektu na GitHub pod adresem wskazanym w referencjach.

Kogo dotyczy

NetAlertX we wszystkich wersjach poprzedzających 25.4.14

Uwagi

Podatność została opublikowana w ramach security advisory GitHub (GHSA-h4x5-vr54-vjrx). Pomimo maksymalnego wyniku CVSS 10.0, CISA nie odnotowała dotychczas aktywnego wykorzystania tej podatności w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Netalertx

    APP
    Netalertx
    < 25.4.14
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-48952CRITICAL9.4PL ✓ten sam produkt

NetAlertX: Pominięcie uwierzytelnienia przez PHP magic hash (SHA-256)

CVE-2024-46506CRITICAL10.0PL ✓ten sam produkt

NetAlertX — nieuwierzytelniony command injection via savesettings (RCE)

CVE-2024-48766HIGH8.6ten sam produkt

NetAlertX 24.7.18 before 24.10.12 allows unauthenticated file reading because an HTTP client can ignore a redi...

CVE-2025-32440 — NetAlertX — ominięcie uwierzytelnienia umożliwia zmianę ustawień (CVSS 10.0) — CRITICAL 10.0 | CVEbaza.pl