CRITICAL🇬🇧 English

CVE-2025-61945

Brak uwierzytelnienia w panelu admina Radiometrics VizAir

CVSS 10.0v4.0pub. 2025-11-04upd. 2025-11-12

System Radiometrics VizAir umożliwia zdalnym, nieuwierzytelnionym atakującym pełny dostęp do panelu administracyjnego. Podatność jest krytyczna, ponieważ pozwala na manipulację parametrami meteorologicznymi mającymi bezpośredni wpływ na bezpieczeństwo lotów.

Pokaż oryginał (EN)

Radiometrics VizAir is vulnerable to any remote attacker via access to the admin panel of the VizAir system without authentication. Once inside, the attacker can modify critical weather parameters such as wind shear alerts, inversion depth, and CAPE values, which are essential for accurate weather forecasting and flight safety. This unauthorized access could result in the disabling of vital alerts, causing hazardous conditions for aircraft, and manipulating runway assignments, which could result in mid-air conflicts or runway incursions.

🤖 Analiza AI
Jak działa

Podatność wynika z braku mechanizmu uwierzytelnienia (CWE-306) chroniącego dostęp do panelu administracyjnego systemu VizAir. Każdy atakujący z dostępem sieciowym może bez podawania jakichkolwiek danych logowania otworzyć panel i uzyskać pełne uprawnienia administracyjne. Po uzyskaniu dostępu atakujący może modyfikować krytyczne parametry pogodowe, takie jak alerty wind shear, głębokość inwersji temperaturowej oraz wartości CAPE, a także zmieniać przydziały pasów startowych.

Skutki

Atakujący może wyłączyć kluczowe alerty bezpieczeństwa lotniczego oraz zmanipulować dane meteorologiczne i przydziały pasów startowych, co może prowadzić do kolizji w powietrzu, incydentów na płycie lotniska (runway incursion) lub narażenia statków powietrznych na niebezpieczne warunki atmosferyczne.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe działanie zaradcze zaleca się odizolowanie systemu VizAir od sieci publicznej, ograniczenie dostępu do panelu administracyjnego wyłącznie do zaufanych adresów IP oraz wdrożenie uwierzytelnienia na poziomie sieci (np. VPN lub firewall).

Kogo dotyczy

Radiometrics VizAir — wersje wskazane w referencjach producenta (CISA ICS Advisory ICSA-25-308-04)

Uwagi

Podatność dotyczy infrastruktury krytycznej sektora lotniczego — systemów prognozowania pogody wykorzystywanych do zapewnienia bezpieczeństwa operacji lotniczych. Szczegóły techniczne dostępne w CISA ICS Advisory ICSA-25-308-04.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Radiometrics Vizair

    APP
    Radiometrics
    < 2025-08
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-54863CRITICAL10.0PL ✓ten sam produkt

Radiometrics VizAir — ujawnienie klucza API REST w pliku konfiguracyjnym

CVE-2025-61956CRITICAL10.0PL ✓ten sam produkt

Brak uwierzytelnienia dla krytycznych funkcji w Radiometrics VizAir