CRITICAL🇬🇧 English

CVE-2025-41648

Pominięcie uwierzytelnienia w aplikacji webowej urządzeń IndustrialPI

CVSS 9.8v3.1pub. 2025-07-01upd. 2026-04-15

Nieuwierzytelniony atakujący zdalnie może ominąć mechanizm logowania w aplikacji webowej urządzeń IndustrialPI. Podatność jest krytyczna, ponieważ umożliwia pełny dostęp do wszystkich ustawień urządzenia bez jakichkolwiek poświadczeń.

Pokaż oryginał (EN)

An unauthenticated remote attacker can bypass the login to the web application of the affected devices making it possible to access and change all available settings of the IndustrialPI.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-704 (nieprawidłowa konwersja typów) w mechanizmie uwierzytelnienia aplikacji webowej pozwala atakującemu na ominięcie procesu logowania. Atak nie wymaga żadnych uprawnień, interakcji ze strony użytkownika ani szczególnych warunków sieciowych — wystarczy dostęp sieciowy do interfejsu webowego urządzenia. Po skutecznym ominięciu logowania atakujący uzyskuje nieograniczony dostęp do panelu administracyjnego.

Skutki

Atakujący może odczytać oraz zmodyfikować wszystkie dostępne ustawienia urządzenia IndustrialPI, co w środowisku przemysłowym może prowadzić do zakłócenia działania procesów, utraty poufności konfiguracji oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik VDE-2025-039). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do interfejsu webowego urządzeń IndustrialPI wyłącznie do zaufanych hostów oraz segmentację sieci przemysłowej.

Kogo dotyczy

Urządzenia IndustrialPI — dokładne wersje wskazane w referencjach producenta (poradnik VDE-2025-039 dostępny pod adresem certvde.com)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje