CRITICAL✓ PATCH🇬🇧 English

CVE-2025-54942

Brak uwierzytelnienia w SUNNET CTMS — dostęp do funkcji wdrożeniowych

CVSS 9.3v4.0pub. 2025-08-30upd. 2026-01-30

Podatność w systemie SUNNET Corporate Training Management System (CTMS) umożliwia zdalnym atakującym dostęp do funkcji wdrożeniowych bez jakiegokolwiek uwierzytelnienia. Luka jest oceniona jako krytyczna (CVSS 9.3) i stanowi poważne zagrożenie dla organizacji korzystających z tego systemu.

Pokaż oryginał (EN)

A missing authentication for critical function vulnerability in SUNNET Corporate Training Management System before 10.11 allows remote attackers to access deployment functionality without prior authentication.

🤖 Analiza AI
Jak działa

System nie wymaga uwierzytelnienia przed udzieleniem dostępu do krytycznych funkcji związanych z wdrożeniem aplikacji (CWE-306: Missing Authentication for Critical Function). Atakujący zdalnie, bez posiadania konta ani żadnych poświadczeń, może bezpośrednio wywołać te funkcje przez sieć. Brak mechanizmu kontroli tożsamości oznacza, że żadne hasło ani token dostępu nie stanowi bariery ochronnej.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do funkcji wdrożeniowych systemu, co może prowadzić do naruszenia poufności, integralności oraz dostępności danych i całego systemu zarządzania szkoleniami.

Mitygacja

Należy zaktualizować SUNNET Corporate Training Management System do wersji 10.11 lub nowszej. Szczegóły dostępne w referencjach producenta oraz w poradniku bezpieczeństwa: https://zuso.ai/advisory/za-2025-10

Kogo dotyczy

SUNNET Corporate Training Management System (Sun.Net Ehrd Ctms) w wersjach przed 10.11

Uwagi

Podatność została ujawniona przez zespół Zuso AI w ramach poradnika ZA-2025-10, opublikowanego 30 sierpnia 2025 roku.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Sun.net Ehrd Ctms

    APP
    Sun.Net
    < 10.11
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-54943CRITICAL9.3PL ✓ten sam produkt

Brak autoryzacji w SUNNET CTMS umożliwia nieautoryzowane wdrożenie aplikacji

CVE-2025-54945CRITICAL10.0PL ✓ten sam produkt

RCE poprzez external control of file path w SUNNET CTMS

CVE-2025-54946CRITICAL9.3PL ✓ten sam produkt

SQL Injection w SUNNET Corporate Training Management System

CVE-2024-10440CRITICAL9.8PL ✓ten sam produkt

SQL Injection w eHDR CTMS (Sunnet) umożliwia nieautoryzowany dostęp do bazy

CVE-2026-7489HIGH8.7ten sam produkt

CTMS developed by Sunnet has a SQL Injection vulnerability, allowing authenticated remote attackers to inject ...