CRITICAL🇬🇧 English

CVE-2025-47419

Crestron Automate VX — transmisja danych wrażliwych niezabezpieczonym kanałem

CVSS 10.0v4.0pub. 2025-05-06upd. 2026-04-15

Urządzenie Crestron Automate VX udostępnia interfejs Web UI oraz API przez niezaszyfrowane porty sieciowe, co umożliwia przechwycenie wrażliwych danych, w tym haseł użytkowników. Podatność uzyskała maksymalną ocenę CVSS 10.0, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a jej eksploatacja jest możliwa zdalnie.

Pokaż oryginał (EN)

Cleartext Transmission of Sensitive Information vulnerability in Crestron Automate VX allows Sniffing Network Traffic. The device allows Web UI and API access over non-secure network ports which exposes sensitive information such as user passwords. This issue affects Automate VX: from 5.6.8161.21536 through 6.4.0.49.

🤖 Analiza AI
Jak działa

Urządzenie akceptuje połączenia do interfejsu administracyjnego Web UI oraz API przez niezabezpieczone (cleartext) porty sieciowe, bez wymuszania szyfrowania. Atakujący znajdujący się w tej samej sieci lub zdolny do podsłuchiwania ruchu sieciowego (sniffing) może przechwycić transmitowane dane w postaci jawnego tekstu. W ten sposób uzyskuje dostęp do poświadczeń użytkowników i innych wrażliwych informacji przesyłanych między klientem a urządzeniem.

Skutki

Atakujący może przechwycić hasła użytkowników oraz inne wrażliwe dane, co prowadzi do nieautoryzowanego dostępu do urządzenia i potencjalnie do całej infrastruktury, którą ono obsługuje.

Mitygacja

Należy zaktualizować oprogramowanie Crestron Automate VX do wersji 6.4.1.8 lub nowszej, dostępnej na stronie producenta pod adresem wskazanym w referencjach. Do czasu aktualizacji zaleca się izolację urządzenia w sieci oraz ograniczenie dostępu do interfejsu Web UI i API wyłącznie do zaufanych hostów poprzez reguły firewall.

Kogo dotyczy

Crestron Automate VX w wersjach od 5.6.8161.21536 do 6.4.0.49 włącznie.

Uwagi

Podatność dotyczy wersji od 5.6.8161.21536 do 6.4.0.49. Patch został udostępniony w wersji 6.4.1.8 zgodnie z referencjami producenta (https://www.crestron.com/Software-Firmware/Software/Automate-VX-Software/6-4-1-8).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje