CRITICAL🇬🇧 English

CVE-2025-54122

Krytyczny SSRF w Manager.io — nieuwierzytelniony dostęp do wewnętrznych zasobów

CVSS 10.0v3.1pub. 2025-07-21upd. 2026-04-15

W oprogramowaniu księgowym Manager (Desktop i Server) wykryto krytyczną podatność typu SSRF (Server-Side Request Forgery) w komponencie obsługi proxy, dostępną bez uwierzytelnienia. Luka umożliwia atakującemu ominięcie izolacji sieciowej i uzyskanie dostępu do wewnętrznych usług oraz wrażliwych danych.

Pokaż oryginał (EN)

Manager-io/Manager is accounting software. A critical unauthenticated full read Server-Side Request Forgery (SSRF) vulnerability has been identified in the proxy handler component of both manager Desktop and Server edition versions up to and including 25.7.18.2519. This vulnerability allows an unauthenticated attacker to bypass network isolation and access restrictions, potentially enabling access to internal services, cloud metadata endpoints, and exfiltration of sensitive data from isolated network segments. This vulnerability is fixed in version 25.7.21.2525.

🤖 Analiza AI
Jak działa

Podatność (CWE-918) znajduje się w komponencie proxy handlera aplikacji Manager. Nieuwierzytelniony atakujący może wysyłać spreparowane żądania HTTP, które serwer wykonuje w imieniu atakującego w kontekście sieci wewnętrznej. Pozwala to na odpytywanie zasobów niedostępnych bezpośrednio z Internetu, takich jak wewnętrzne usługi sieciowe czy punkty końcowe metadanych środowisk chmurowych (cloud metadata endpoints). Brak mechanizmu uwierzytelnienia na tym komponencie sprawia, że exploit jest możliwy bez posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych usług sieciowych, punktów metadanych chmury (np. AWS/GCP/Azure IMDSv1) oraz eksfiltrować wrażliwe dane z izolowanych segmentów sieci, co może prowadzić do pełnego naruszenia poufności infrastruktury.

Mitygacja

Należy zaktualizować oprogramowanie Manager do wersji 25.7.21.2525 lub nowszej, w której podatność została usunięta. Patch jest dostępny u producenta. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji Manager wyłącznie do zaufanych hostów oraz zablokowanie dostępu do punktów metadanych chmury na poziomie firewalla.

Kogo dotyczy

Manager Desktop i Manager Server w wersjach do 25.7.18.2519 włącznie

Uwagi

Podatność zgłoszona i naprawiona przez producenta — advisory opublikowane na GitHub Security Advisories (GHSA-347w-cgwh-m895). CVSS 10.0 wynika z wektora sieciowego bez wymagań uwierzytelnienia, braku interakcji użytkownika oraz zmienionego zakresu (Scope:Changed), co oznacza wpływ wykraczający poza samą aplikację.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SSRFAuth Bypass
CWE
Referencje